ELEKTRK-ELEKTRONK TEKNOLOJS
A GVENL VE A PROTOKOLLER
481BB0007
Ankara, 2011
Bu modl, mesleki ve teknik eitim okul/kurumlarnda uygulanan ereve retim Programlarnda yer alan yeterlikleri kazandrmaya ynelik olarak rencilere rehberlik etmek amacyla hazrlanm bireysel renme materyalidir. Mill Eitim Bakanlnca cretsiz olarak verilmitir. PARA LE SATILMAZ.
NDEKLER
AIKLAMALAR ...................................................................................................................iii GR ....................................................................................................................................... 1 RENME FAALYET-1 ..................................................................................................... 3 1. A PROTOKOLLER ......................................................................................................... 3 1.1. TCP/IP Mimarisi ve Katmanlar ................................................................................... 3 1.1.1. Uygulama Katman Protokolleri............................................................................ 6 1.1.2. Ulam Katman Protokolleri................................................................................. 8 1.1.3. Ynlendirme Katman Protokolleri ....................................................................... 8 1.1.4. Fiziksel Katman Protokolleri ................................................................................. 8 1.1.5. Adres zmleme Protokolleri ............................................................................. 8 1.1.6. Ipv6 Yeni Nesil Ynlendirme Protokol ............................................................... 9 1.2. TCP/IPnin Yaps....................................................................................................... 10 1.2.1. TCP (Transmission Control Protocol-letiim Kontrol Protokol) ..................... 10 1.2.2. UDP (User Datagram Protocol-Kullanc Veri Blou letiim Protokol).......... 11 1.2.3. ARP (Adress Resolution Protocol-Adres zmleme Protokol) ...................... 12 1.2.4. MAC Adress (Media Access Control-Ortama Eriim Adresi) ............................ 12 1.3. Dinamik Bilgisayar Konfigrasyon Protokol (DHCP) ............................................. 12 1.3.1. DHCP Sunucu Hizmetinin Amac ....................................................................... 13 1.3.2. DHCP Sunucularnn Kurulduu Yerler.............................................................. 13 1.3.3. DHCP Veri Tabannn Yedeklenmesi ve Yedekten Yklenmesi ........................ 14 1.4. Windows nternet simlendirme Servisi (Wins) ......................................................... 15 1.5. Alan sim Sistemi (DNS) ............................................................................................ 16 1.5.1. DNSnin Yaps ................................................................................................... 16 1.5.2. Yetki Blgesi ....................................................................................................... 17 1.5.3. DNS Sunucu eitleri.......................................................................................... 17 1.6. Basit A Ynetim Protokol (SNMP) ........................................................................ 17 1.7. Dosya Aktarm Protokol (FTP) ve letiim A (TELNET) ..................................... 18 UYGULAMA FAALYET .............................................................................................. 19 LME VE DEERLENDRME .................................................................................... 20 RENME FAALYET-2 ................................................................................................... 21 2. NTERNET ADRES SINIFLARI ve alt alar ................................................................... 21 2.1. Adres Snflamas........................................................................................................ 21 2.1.1. A Snf Adresler.................................................................................................. 23 2.1.2. B Snf Adresler.................................................................................................. 23 2.1.3. C Snf Adresler.................................................................................................. 24 2.1.4. D Snf Adresler.................................................................................................. 24 2.1.5. E Snf Adresler .................................................................................................. 24 2.2. Alt Alar (Subnets) ..................................................................................................... 24 2.2.1. Alt A Maskesi (Subnet Mask) ........................................................................... 24 2.2.2. Alt Alara Ayrma (Subnetting) .......................................................................... 26 UYGULAMA FAALYET .............................................................................................. 29 LME VE DEERLENDRME .................................................................................... 30 RENME FAALYET-3 ................................................................................................... 31 3. IP YNLENDRME .......................................................................................................... 31 3.1. Bir Ada Ynlendirme................................................................................................ 31 3.2. Ynlendirici Cihazlar in Ip Bilgisi........................................................................... 32 i
3.3. IP Ynlendirme Cihazlar ve Ynlendirme................................................................. 33 UYGULAMA FAALYET .............................................................................................. 35 LME VE DEERLENDRME .................................................................................... 36 RENME FAALYET-4 ................................................................................................... 37 4. A GVENL ............................................................................................................... 37 4.1. Gvenlik Dzeyleri ..................................................................................................... 38 4.2. zel Sanal Alar (VPN) ............................................................................................. 39 4.3. Gvenlik Duvar (Firewall)......................................................................................... 40 4.3.1. Kstlamazin Verme.......................................................................................... 41 4.3.2. Gvenlik Duvar Trleri ...................................................................................... 42 UYGULAMA FAALYET .............................................................................................. 44 LME VE DEERLENDRME .................................................................................... 45 MODL DEERLENDRME .............................................................................................. 46 CEVAP ANAHTARLARI ..................................................................................................... 48 KAYNAKA ......................................................................................................................... 51
ii
AIKLAMALAR AIKLAMALAR
KOD ALAN DAL/MESLEK MODLN ADI MODLN TANIMI 481BB0007 Elektrik Elektronik Teknolojisi Dal Ortak A Gvenlii ve A Protokolleri A sistemlerinde protokollerin ve a gvenliinin tanmn, denetimini, ayarlarn yapabilme ilgili temel bilgi ve becerilerin kazandrld bir renme materyalidir. 40/16 A letim Sistemleri modln alm olmak A protokollerini kurmak Genel Ama A protokol ve a gvenliine ait tanmlamalar ve dzenlemeleri yapabileceksiniz. Amalar 1. A protokollerini tanyarak protokol tanmlamalarn yapabileceksiniz. 2. nternet adres snflarn tanyarak alt alara ayrma (subnet mask) ayarlarn yapabileceksiniz. 3. A ynlendirme elemanlarn tanyarak IP ynlendirme ilemini yapabileceksiniz. 4. Gvenlik dzeylerini tanyarak a gvenlii ile ilgili tanmlamalar yapabileceksiniz.
MODLN AMACI
LME VE DEERLENDRME
Modl iinde yer alan her renme faaliyetinden sonra verilen lme aralar ile kendinizi deerlendireceksiniz. retmen modl sonunda lme arac (oktan semeli test, doru-yanl testi, boluk doldurma, eletirme vb.) kullanarak modl uygulamalar ile kazandnz bilgi ve becerileri lerek sizi deerlendirecektir.
iii
iv
GIRI GR
Sevgili renci, letiim hayatmzn ayrlmaz bir parasdr. nsanlar eitli bilgileri, duygular iletiim yoluyla birbirlerine aktarrlar. Bu sayede aralarnda bir ba oluur. Bilgisayarlarda da insanlarnkine benzeyen bir iletiim zinciri vardr. Her bilgisayar sahibi kendinde bulunmayan bilgilere baka makinelere balanarak ular. Yine ayn yntemle kendi bilgilerini de baka kullanclara ulatrr. Tm bu ilemler a protokolleri sayesinde gerekleir. letiimin belli kurallar vardr. Bunlardan birisi de gizliliktir. Nasl gerek dnyada insanlarla ilikilerimizde gizli olan noktalar varsa sanal lemde de gizliliin nemli olduu yerler vardr. Bu gizlilik de a gvenlii sayesinde salanr. Gnmzde bilgisayar ve internet teknolojisindeki gelimelerle birlikte a teknolojilerinde de gelimeler olmutur. Bilgisayar alar okullarda, i yerlerinde, bankalarda ve daha pek ok alanda veri aktarm ve paylamn salamasnn yannda baz bilgilerin de istenmeyen kiilerin eline gemesini nlemek amacyla kullanlmaktadr. Bu modl bitirdikten sonra bilgisayarlar arasndaki veri iletiiminin hangi kurallar iinde gerekletiini, a protokol ayarlarnn nasl yapldn, veri paylamnda gizliliin nasl salandn kavrayacak ve bu sistemleri verimli bir ekilde kullanabileceksiniz. Bu sayede bilgiye ulap saklamanz son derece kolay olacaktr.
ARATIRMA
A balantsnda kullanlan donanm elemanlarn aratrnz. Bir internet laboratuvarnn kablo balantlarn ve a protokol ayarlarn aratrnz. Bir yerel ada bilgi alveriinde bulunan bilgisayarlarn nasl bilgi alveriinde bulunduunu ve hangi ayarlarn yapldn aratrnz. Aratrmalarnz iin internet ortamn kullannz. Okulunuzun bilgisayar laboratuvarn gezerek kullanlan a donanmlar ve a ayarlar hakknda n bilgi edininiz.
1. A PROTOKOLLER
1.1. TCP/IP Mimarisi ve Katmanlar
nternet a mimarisi katmanl yapdadr. Uygulama katman saylmazsa temel drt katman vardr. Bilgisayarlar aras iletiim iin gerekli btn i, bu drt katman tarafndan yrtlr. Her katmanda yaplacak grevler protokoller tarafndan paylalmtr. TCP ve IP farkl katmanlarda bulunan farkl protokollerdir. Fakat ikisi birlikte TCP/IP olarak kullanldnda btn katmanlar ve bu katmanlarda bulunan protokollerin tamamn ifade eder. Bu sebeple TCP/IP bir protokol kmesi olarak bilinir.
TCP/IP katmannda kullancnn kulland programlar ve iletim sisteminin arka planda yrtt programlar uygulama program katmanlardr. Uygulama programnn altnda bulunan katmanlar iletiim iini yapan katmanlardan oluur. Bu katmanlarda bir hizmetin yaplabilmesi iin bir alt katmandan hizmet beklenir. Uygulama programlarnn bulunduu katman saylmaz ise drt katman vardr. Bunlar; uygulama, ulam, ynlendirme ve fiziksel katmanlardr (ekil 1.1). Uygulama katmannda SMTP (Simple Mail Transfer Protocol-Basit Posta Aktarm Protokol), TELNET (Telecommunication Network-letiim A), FTP (File Transfer Protocol-Dosya Aktarm Protokol), SNMP (The Simple Network Management-Basit A Ynetim Protokol), (Remote Login-Uzaktan Eriim) gibi protokolleri vardr. Ulam katmannda TCP (Transmission Control Protocol-letiim Kontrol Protokol) ve UDP (User Datagram Protocol-Kullanc Veri Blou letiim Protokol) protokolleri, ynlendirme katmannda IP (Internet Protocol-nternet Protokol), ICMP (Internet Control Management Protocolnternet Kontrol Ynetim Protokol) protokolleri vardr. Fiziksel katmanda ise gelen bilgileri iletim ortamna aktarmakla grevli protokoller olan Ethernet, Switch, X25 gibi protokoller vardr. Uygulama programlar, uygulama katmanndaki protokoller aracl ile iletiimdedir. Bir e-posta (e-mail, e-mektup) SMTP ile belirlenen kurallarla gidecei adrese gnderilir. Bu protokol bir e-mailin gnderilecek adrese nasl gnderileceini belirler. A zerindeki baka bir bilgisayara dosya aktarm ve balanma iin de FTP protokol kullanlr. FTP, bilgisayarlar arasnda dosya alverii iin kullanlan bir uygulama katman protokoldr. A cihazlar, genel olarak TCP/IPnin ilk katmanyla ilem yapar. Eer a cihaz yaplan uygulamada protokollerini kendi bnyesinde de altracaksa drdc katman da kullanr. ekil 1.1deki katman ve protokolleri, ekil 1.2de deiik bir adan inceleyelim.
ekil 1.2de grld gibi iletim siteminin hemen altnda uygulama protokolleri vardr. Bu protokoller bir port zerinden TCP ve UDPnin bulunduu katmana eriir. TCP protoklnde her uta 2 adet farkl port tanmldr. Bu 16 bitlik port numaras veya adresi ve 32 bitlik IP adresi beraberce kullanldnda ortaya kan adrese soket numaras denir. TCP balantlar, bu soketler zerinden salanr. Bir soket, ekil 1.3te grld gibi iki paradan oluur.
Soket Numaras Port Nu. IP Adresi
16
Bir IP adresindeki birbirinden farkl servisleri kullanmak iin verilmi numaralara port numaras denir. Port numaralar 0 ile 255 arasnda numarandrlm, standart uygulama katman hizmetlerine eriim iin ayrlmtr. rnein; FTP iin port 21, TELNET iin port 23 gibi birok port numaras belirli uygulamalar iin kullanlr. Katmanlarn sahip olduu grevlerin anlalmas iin en temel hizmet olan e-posta rnei zerinde durulabilir. E-posta, yazma ortam sunan bir yardmc program araclyla yazlr daha sonra uygulama katmannda SMTP protokolne gnderilir. Burada alc ve gnderici adresleri yazldktan sonra hazrlanan mektup bir alt katmana yani ulam katmanna gnderilir. Bu katmanda kullanlan protokol TCPdir. Burada TCP protokolnn grevi, bir st katmandan gelen veri paketini gnderebilecek ekilde paralara ayrarak onlara sra numaras vermektir. Daha sonra bir alt katman olan ynlendirme katmannda IP protokolne gnderir. IP protokol gelen veri paketlerinin nne gidecek olan yerin adres 5
bilgilerini yerletirir. Adres bilgilerini de alan veri paketleri, bir alt katman olan fiziksel katman aracl ile kar bilgisayarlara iletilir. zellikle TCP ve IP protokolleri, bilgi alverilerinde ok byk bir grev stlenmektedir. TCP protokol bir st katmandan gelen verilerin nne kendi baln ekleyerek bir alt katmandaki IP protokolne gnderir. Bu protokol, gelen veriye adres bilgileri yerletirerek fiziksel katmana gnderir.
E-postay aktaran Basit Posta Aktarm Protokol, POP3 hizmetiyle birlikte e-posta hizmetlerinin bir paras olarak yklenir. SMTP, e-postann internet boyunca aktarlp hedef sunucuya teslim edilme yntemini denetler. POP3 hizmeti e-postay posta sunucusundan kullancnn bilgisayarna alrken SMTP hizmeti sunucular arasnda e-posta alr ve gnderir.
SNMP (Simple Network Management Protocol-Basit A Ynetim Protokol): A yapsnn fiziksel katmannda bulunan ynlendirici (router), anahtar (switch) ve hub gibi cihazlarn ynetimini salar. SNMP destei olan a cihazlar SNMP mesaj alverii ile uzaktan ynetilebilir. TELNET (Telecommunication Network-letiim A): Kullancnn bir baka makineye sanki o makinenin istasyonuymu gibi balant kurmasn salayan protokoldr. FTP (File Transfer Protocol-Dosya Aktarm Protokol): Bir bilgisayardan baka bir bilgisayara balanarak dosya aktarmn salar. nternet zerindeki iki sistem arasnda dosya aktarm iin kullanlan temel protokoldr. NNTP (Network News Transport Protocol-A Haberleri Aktarm Protokol): USENET postalanma hizmetinin yrtlmesini salar. 7
HTTP (The Hypertext Transfer Protocol-Yksek Protokol): Web sayfalarnn alveriini salar.
Metin
letiim
Yukarda bahsedilen btn protokoller istemci-sunucu mantna gre alr. Balanlan makinede hizmet sunan programa sunucu, balant yapan ve bylelikle hizmet alan programa da istemci denir. stemci ve sunucu programlarn bilgi transferi yapabilmesi iin her iki makinede ilgili protokol programlar yklenmi ve gerekli ayarlar yaplm olmaldr. Mesel, dosya transferini salayabilmek iin istemci ve sunucu makinelerde FTP protokolnn kurulmu olmas gerekir.
Ancak TCP/IP protokol kmesinin kullanld alarda, 32 bit olan IP adresleri kullanlr. Fiziksel katmanda Ethernet badatrc kullanlyorsa IP adresten fiziksel adrese dnm iinin yaplmas gerekir. Bunun iin sistemlerde adres zmleme protokol (ARP) ve ARP tablolar kullanlr. IP paketi iinde hem alc hem de gnderici IP adresi vardr ancak paketin yerel a iindeki bir sisteme gnderilebilmesi iin donanmn yani a badatrcsnn fiziksel adresi de bilinmelidir. IP, paketin gidecei fiziksel adresi renmek iin o yerel a iindeki bilgisayarlara zel bir sorgulama paketi yayar. ARP istek paketi olarak anlan bu pakette alc sistemin IP adresi vardr ve bunun karl olan fiziksel adresin gnderilmesi istenir. A zerinde ARPleri etkin olan btn dmler bu istek paketlerini grr ve kendilerini ilgilendiriyorsa istek paketini gnderen yere fiziksel adreslerini gnderir (ekil 1.6).
RIP, OSPF gibi protokollerin geniletilmesi Yeni IP paket yaps Deiik protokoller iin IP bal dzenlenmesi Ses ve grnt aktarma destei
Fiziksel katman; bilgisayarda bulunan a kartn, kablolar vb. eyleri gsterir. Veri paketlerinin aa iletilmesinden ve adan ekilmesinden bu katman sorumludur. Ynlendirme katmannda IPye gre dzenlenmi veri paketleri bulunmaktadr. Ulam katmanndan gelen veriler burada veri paketleri hline gelir. Paketlerin ynlendirilmesi ile ilgili ilemler de burada yaplr. TCP/IP katmanlarndaki protokoller aada anlatlmtr.
TCP kendisine atanm olan bu grevleri yapabilmek amacyla ulam katmannda veri paralarnn nne balk bilgisi ekler. Balk bilgisiyle veri paras, ikisi birlikte TCP segmenti olarak anlr. TCP segmenti bir alt katmana (IP katmanna) gnderilir, oradan da bu segmente IP bal eklenerek alcya ynlendirilir.
10
TCP segmentin genel format ekil 1.8de grld gibidir. Gnderici Port Numaras Alc Port Numaras Sra Numaralar Onay Numaras Balk Sakl Kod Bitleri Uzunluu Tutulmu Pencere Hata Snama Bitleri Acil aretisi Kullanc Vericisi
ekil 1.8: TCP segment format
Gnderici port numaras: Bir st katmanda TCP hizmetini isteyen uygulama protokolnn kimlii durumundadr. Kar mesaj geldiinde bir st katmana iletmek iin o protokoln ad deil de port numaras kullanlr. Alc port numaras: Gnderilen veri paketinin alc tarafta hangi uygulamaya ait olduunu belirtir. Sra numaras: Gnderilen paketin sra numarasn gsterir. Gnderilmeden nce daha kk paralara ayrlan verinin alc ksmda yeniden ayn srada elde edilmesinde kullanlr. Onay numaras: Gnderilen verinin en son hangi sekizlisinin alndn gndericiye iletmek iin kullanlr. Mesel n says gnderilirse nye kadar btn sekizlilerin alnd belirtilir. Balk uzunluu: TCP balnda var olan 32 bit uzunluundaki szcklerin saysn gsterir. Sakl tutulmu: lerde yaplacak eklemeler iin sakl tutulmutur. Kod bitleri: Kontrol bilgilerini tamak iin kullanlr. Pencere: Al tampon belleindeki kullanlabilir alann sekizli cinsinden boyudur ve al denetimi iin kullanlr. Hata snama bitleri: Verinin ve baln hatasz aktarlp aktarlmadn snamak iin kullanlr. Acil iaretisi: vedi olarak aktarm sonlandrma vb. durumlarda kullanlr. Acil veri, alcnn uygulama katmannda ncelikle deerlendirilmesi gereken veridir. Veri: vedi olarak deerlendirilmesi istenen verinin blm iindeki yerini iaret eder.
Gnderici Port Numaras Alc Port Numaras Uzunluk Hata Snama Bitleri Kullanc Vericisi
ekil 1.9: UDP segment format
Gnderici ve alc port numaralar TCP protokolyle ayn ileve sahiptir. Uzunluk alan veri ve baln boyunu gsterir. Kullanlmas seimlik olan hata snama bitleri ise paketin hatadan arnm olarak alnp alnmadn snamak iin kullanlr.
12
Adaki bilgisayar says artka bu parametrelerin bilgisayarlara girilmesi byk bir yk getirir. Mesel, 100 kullancl bir ada toplam 500 adet parametrenin doru ekilde girilmesi gerekir. 500 adet parametreyi girerken mutlaka hata yaplr. IP adresleri akr, bu yzden iletiim kurulamaz. Subnet maskeleri yanl verilirse kendi amzdaki ve baka alardaki makinelere eriemeyiz. Default gateway adresi yanl verilirse kendi amzdaki makinelerle iletiim kurabiliriz ama bir baka aa balanamayz. DNS ve WINS adresleri yanl verilirse isim-IP adresi zmlemesini DNS sunucudan ya da WINS sunucudan yapamayz. Bu parametreleri doru bir ekilde girmenin daha kolay bir yolu vardr ve bu sistemin ad DHCPdir.
Bir makine DHCP sunucu olarak kurulur. DHCP sunucu da dier bilgisayarlara datlacak adresler iin bir adres aral ve bir subnet maskesi tanmlanr. IP adresi ve subnet maskesi dnda datlabilecek parametreler de (default gateway, DNS ve WINS sunucu adresleri gibi) tanmlanabilir. DHCP istemci olarak belirlenmi bilgisayarlar DHCP sunuculara bavurduklarnda adres havuzlarndan uygun bir adres seilerek subnet maskesi ile birlikte istemciye gnderilir. Bu srada seimlik bilgiler (default gateway adresi, WINS sunucu ve DNS sunucu adresleri gibi) de istemciye gnderilebilir. Eer istemci bilgisayar bu adres nerisini kabul ederse nerilen adres istemciye belli bir sre iin verilir. Eer IP adres havuzunda verilebilecek bir adres kalmamsa ve istemci baka bir DHCP sunucudan da adres alamyorsa TCP/IP iletiimine geilemez.
Geici _database_ad: Birletirme ilemi srasnda kullanlanacak geici bir veri taban dosyas addr.
Windows ad zmleme hizmetinin ileyiinde aadaki drt ilem vardr: Name Registraion (ad yazmak) Registration Renewal (kayt yenilemek) Name Query (ad sorgulamak) Name Release (ad serbest brakmak)
stemci bilgisayar aldnda NetBIOS adn ve IP adresini WINS Server'a yazar. Bu ilemin ardndan WINS Server istemciye kayt ileminin baarl olduuna ilikin bir mesaj dndrr. Kayt ileminin bir sresi vardr. Bu sreye TTL (Time To Live) ad verilir. WINS istemcisinin ad ve IP adresi deitiinde WINS Server veri taban gncellenir. Bunun dnda istemci kaydnn sresi bittiinde yenileme ilemi yaplr. Eer yenileme yaplmazsa ad kayd sona erdirilir. WINS hizmetinin doal hizmeti adlarn sorgulanmasdr. Bu, bir istemcinin dier bir istemcinin NETBIOS adn WINS Server'da istemesidir. WINS Server'dan dier istemcinin IP adresini alan istemci network iletiimi yapar.
15
16
17
FTP (File Transfer Protocol) internete bal bir bilgisayardan dierine (her iki ynde de) dosya aktarm yapmak iin gelitirilen bir internet protokol ve bu ii yapan uygulama programlarna verilen genel addr. lk gelitirilen internet protokollerinden biridir. FTP protokol ile bir bilgisayardan baka bir bilgisayara dosya aktarm yaplrken o bilgisayar ile etkileimli ayn anda (on-line) balant kurulur ve protokol ile salanan bir dizi komutlar yardmyla iki bilgisayar arasnda dosya alma/gnderme ilemleri yaplr. TELNET, internet a zerindeki ok kullancl bir makineye uzaktaki baka bir makineden balanmak iin gelitirilen bir TCP/IP protokol ve bu ii yapan programlara verilen genel isimdir. Balanlan makineye girebilmek (login) iin orada bir kullanc isminizin (user name) ve balantnn gerekleebilmesi iin bir TELNET eriim programnzn olmas gereklidir.
18
lem Basamaklar
A iletim sistemi iinde bulunan a ayarlar ile ilgili ksm altrnz. A protokollerini kontrol ediniz. Gerekiyorsa protokol ayarlarn deitiriniz. DHCP sunucu kurunuz. Adaki dier bilgisayarlara IP numaras veriniz. DNS kurunuz. FTP ve TELNET dzenleyiniz. A zerinde dosya alverii yapnz. SNMPyi dzenleyiniz.
neriler
Mevcut olan a sistemin balant kablolarna ve a donanm paralarnn dzenine dikkat ediniz. Kullanlan a iletim sisteminin almasn etkileyecek komut ya da komutlar kullanmaynz. Enerji ile alan donanm paralarnn gerilimlerine dikkat ediniz.
KONTROL LSTES
Bu faaliyet kapsamnda aada listelenen davranlardan kazandnz beceriler iin Evet, kazanamadnz beceriler iin Hayr kutucuuna (X) iareti koyarak kendinizi deerlendiriniz. 1. 2. 3. 4. 5. Deerlendirme ltleri DHCP sunucusunu kurabildiniz mi? DNSI kurabildiniz mi? FTP ile TELNETi dzenleyebildiniz mi? A zerinde dosya alverii yapabildiniz mi? SNMPyi dzenleyebildiniz mi? Evet Hayr
DEERLENDRME
Deerlendirme sonunda Hayr eklindeki cevaplarnz bir daha gzden geiriniz. Kendinizi yeterli grmyorsanz, renme faaliyetini tekrar ediniz. Btn cevaplarnz Evet ise lme ve Deerlendirmeye geiniz.
19
2. 3. 4.
Aadaki protokollerden hangisi a ierisinde elektronik mektup alveriini salar? A) HTTP B) SMTP C) ICMP D) TCP Aadaki eletirmelerden hangisi yanltr? A) edu Eitim kurumlar B) com Ticari kurulular C) mil Askeri kurumlar D) gov Ticari olmayan hkmete te bal olmayan kurumlar nternet zerinde dosya aktarm yapmak iin kullanlan protokol aadakilerden hangisidir? A) TELNET B) SNMP C) FTP D) WINS Aadakilerden hangisi ulam katman protokollerindendir? A) IP-ICMP B) TCP-UDP C) HTTP D) DNS
5.
6. 7. 8.
Aadakilerden hangisi Ethernet kartnda bulunan deitirilemeyen bir adrestir? A) ARP B) UDP C) MAC D) WINS Aadakilerden hangisi TCP/IP mimarisi katmanlarndan deildir? A) Sunum B) Uygulama C) Ulam D) Fiziksel
DEERLENDRME
Cevaplarnz cevap anahtaryla karlatrnz. Yanl cevap verdiiniz ya da cevap verirken tereddt ettiiniz sorularla ilgili konular faaliyete geri dnerek tekrarlaynz. Cevaplarnzn tm doru ise bir sonraki renme faaliyetine geiniz.
20
ARATIRMA
nternet eriimi olan bir bilgisayardan deiik adreslere girerek adres snflarnn uzantlarna ve nasl gruplandrldna dikkat ediniz. nternete girdiimizde bilgisayarmza IP adresinin nasl atandn aratrnz. Okulunuzda veya bilgisayar laboratuvarnzdaki yerel an alt alara blnp blnmediini aratrnz.
Adresler iki paraya ayrlr. Parann soldaki ksm a adresi, sadaki ksm ise sistem adresi olarak adlandrlr. A adresleri ynlendiriciler iin daha anlamldr. Tm ynlendirme ilemleri a adreslerine baklarak yaplr. ekil 2.1de snflanm bir an ayrlm hli grlmektedir. Snflamal adreslemede 32 bitlik adresin kaar bitinin a ve sisteme ait olduunu belirlemek iin a maskesi kullanlr. A maskesi IP adresiyle mantksal VE ilemine tabii tutulur ve sonu a adresini verir. rnein, 167.34.1.1 IP adresine ve 255.255.0.0 a maskesine sahip bir bilgisayarn VE ileminden sonra a adresi 167.34.0.0 ve sistem adresi 1.1 olur. Snflamal adreslemede IP adresleri A,B,C,D ve E eklinde ayrlr.
Noktal gsterimde ekil 2.2den de anlalaca zere her snf iin tanmlanabilecek maksimum sayda bilgisayar adedi vardr. Bu bilgisayarlar internet ortamnda host diye 22
adlandrlr. Her bir snf iin tanmlanabilecek host says ekilsel olarak aada belirtilmitir. h: host a zerinde tanmlanacak olan bilgisayarlar A Snf: 001.hhh.hhh.hhhden 126.hhh.hhh.hhhye kadar B Snf: 128.001.hhh.hhhden 191.254.hhh.hhhye kadar C Snf: 192.000.001.hhhden 223.255.254.hhhye kadar D Snf: 224.000.000.000dan 239.255.255.255e kadar
23
Sonu: 195.134.67. 0
ekilde grlen 195.134.67.0 adresli bilgisayarn dier bilgisayarla iletiime gemesi iin ayn ada olmalar gerekir. Bu yzden hedef bilgisayarn ayn ada olup olmadna baklr. Bunun iin bilgisayarlarn a adreslerine bakarz. 195.134.67.200 VE 255.255.255.0 ile ileme koyduktan sonra kan sonu: 195.134.67.0 olacaktr. Bu bilgisayarn kendi a adresidir. Hedef bilgisayarn a adresi ise: 195.134.67.56 ile 255.255.255.0 VE ileme konularak 195.134.67.0 sonucu grrz. Ayn a adresleri kt iin bu bilgisayarlarn iletiime geeceklerini syleyebiliriz. Yeni rneimiz iin aadaki ekle bakalm.
Bu kurulan ada 195.134.67.200 adresli bilgisayar ile 195.134.78.46 numaral bilgisayar iletiime gemek isterse ilk olarak ayn ada olup olmadklarna bakmalar iin IP adresleri ile alt a adresini VEleyerek kendi a adreslerini bulur. Ayn ilemi hedef bilgisayar iin de yapar. Sonu ayn kmaz. Bunun sonucu olarak 195.134.67.200 numaral bilgisayar iletmek istedii veriyi ynlendiriciye gnderir, o da gelen pakete bakp 195.134.78.46 numaral bilgisayar hedeflediini anlar ve veriyi ona aktarr. Eer alt a adresini 255.255.0.0 eklinde yanl girmi olsaydk VElediimiz sonucu bize ayn ada olduunu gsterecektir. Ulamaya alacaktk ama eriemeyecektik. IP adresini ve alt a adresini DHCP datcs ile datrz. Yukardaki bilgisayarda ilk a iin 195.134.67. 0, ikinci a iin 195.134.78.0 a adresimizdir. Demek ki ilk ada hibir bilgisayara 195.134.67.0 adresini veremeyiz. Bu adres ilk an tmn belirtiyor. Ayn ekilde 2. a iin de 195.134.78.0 adresini veremeyiz. Dolaysyla bize son oktet iin 256 bilgisayar tanmlayabilecek 255 adres tanmlayabiliriz. Benzer ekilde 195.134.67.255 adresini hibir bilgisayara veremeyiz. Bu adres, bu an broadcast adresidir. O zaman tanmlanabilecek adresler yle bir kural ile hesaplanr: IP 25
adresine hem a tanmlaycs ksm hem bilgisayar tanmlayc ksm 0 (0000 0000) ya da 255 (1111 1111) olamaz. Bylece a adres says 2n-2 ile hesaplanr. Yukardaki rnekte C snf adres sz konusu olduu iin ilk 3 oktet sabittir. Biz yalnzca son okteti serbeste kullanrz. Bu oktet, 8 olduuna gre 28-2den 254 adet bilgisayar adresi tanmlayabiliriz.
26
Bu dalm yaptktan sonra her ildeki a adreslerinin son oktetinin geriye kalan 5 bitini de a iindeki bilgisayarlar tanmlamak iin kullanlr. Kuralmza gre 25-2= 30 olarak bulunur ve bir amzda 30 adet bilgisayar tanmlayabiliriz. Toplam 6 adet a tanmlama hakkmz vard. Buna gre 6.30=180 adet bilgisayar bu amz iin tanmlamamz mmkndr. lk bata bize verilen IP adresine gre toplam 254 adet bilgisayar tanmlama hakkmz vard ancak alt alara ayrdktan sonra sadece 180 bilgisayar tanmlayabiliz. Buradaki 74 adet adres alt alara ayrma ilemi srasnda boa gitti. Bir IP adresinde a tanmlayc ve bilgisayar tanmlayc blmleri alt a maskesi (subnet mask) ile belirleriz. Yukardaki rnekte en fazla alt olabilecek, be adet a blmmz (segment) var. Dolaysyla bize yetkili kurum tarafndan verilen 255.255.255.0 maskesini kullanamayz. Bu maskeyi ancak btn bilgisayarlar tek bir blmde bulunduu zaman kullanrz. Bizim tanmlayacamz alt a maskesi sayesinde her ehirdeki (blmdeki) bilgisayar hem kendi aralarnda hem de ehirler aras (baka blmdeki) bilgisayarlarla haberlemelidir. Adreslerin ve dolaysyla alt a maskesinin ilk oktetinde deiiklik yapamayz. Sadece son oktette deiiklik yapabiliriz. rneimizde tm alarda a belirleyen ksm son oktetin ilk bitidir. O zaman alt a maskemiz 255.255.255. 1110 0000 olmaldr yani 255.255.255.224. imdi alt a maskemizi snayalm: Ankaradaki 195.27.12.33 numaral bilgisayarla snayalm: 195.27.12.33 VE 255.255.255.224 = 195.27.12.32 olur. Ankaradaki 195.27.12.35 numaral bilgisayarla snayalm: 195.27.12.35 VE 255.255.255.224 = 195.27.12.32 olur. kisi de ayn sonucu verdii iin ayn a zerinde olduunu varsayacaktr ve iletiime geecektir.
27
stanbul ile haberletirmeye alalm.195.27.12.66 VE 255.255.255.224 = 195.27.12.64 olur. ki ilem sonucu farkl olduu iin hedef bilgisayarn baka bir a blmnde olduunu varsayacaktr. Baka bir blmdeki bilgisayarla dorudan iletiime geemeyecek ve veri paketini ynlendiriciye yollayacaktr. Ynlendiricilerin her bir bacana IP adresi vermemiz gerekiyor. Bu adresler ynlendirici bacaklarnn bal olduklar blmlere uygun olarak verilmelidir. rneimizde ynlendiricinin Ankaraya bakan bacana 195.27.12.36, stanbula bakan bacana 195.27.12.68, Afyona bakan bacana ise 165.27.12.100 IP adresleri verilmelidir. Ayrca Ankara-stanbul ve stanbul-Afyon arasndaki bacaklara da IP adresi atamamz gerekmektedir. nk buralar da birer alt adr. Bu adresler Ankaradan Afyona doru srasyla 195.27.12.129, 195.27.12.130, 195.27.12.161 ve 195.27.12.162dir. Buradaki IP adres deerleri yukardaki tablodan 4 ve 5. a balang adreslerinden gelmektedir. Bu konuyla ilgili zet maddeler aada sralanmtr: A alt alara ayrrken ilk nce ka tane ayr a istendiine karar verilmelidir. Buna gre ka tane ynlendirici kullanlaca belirlenmelidir. Toplam alt a says belirlenirken ynlendiriciler arasnda kalan ksmlar unutulmamaldr. Onlar da ayr birer alt adr. Hesaba onlar da dahil edilmelidir. Kurum adresimizde bizim sorumluluumuza braklan ksma bakp oluturulacak alt alar iin buradaki birler kullanlmaldr. 2n-2 kuralna uygun olarak alt a belirlerken ka adet bit kullanlaca saptanmaldr. kan say da bitleri alt a tanmlayclarn belirlemekte kullanlmaldr. Geriye kalan bitlerle de alt alardaki bilgisayarlar tanmlanmaldr. Kurum apnda geerli olan yeni alt a maskesi belirlenmelidir. Bu yeni alt a maskesinde alt a tanm iin kullanlan bitlerin yerleri bir olmaldr.
28
lem Basamaklar
neriler
nternet ayarlarnn zelliklerine dikkat ediniz. A iletim sisteminin almasn etkileyecek komutlar kullanrken dikkatli olunuz. Yerel ada IP adreslerinin dzenine dikkat ediniz.
A sistemine gre adres snflandrmasn yapnz. Gerekli hesaplamalar yaparak IP adreslerini tanmlaynz.
KONTROL LSTES
Bu faaliyet kapsamnda aada listelenen davranlardan kazandnz beceriler iin Evet, kazanamadnz beceriler iin Hayr kutucuuna (X) iareti koyarak kendinizi deerlendiriniz. 1. 2. Deerlendirme ltleri A sistemine gre adres snflandrmasn yapabildiniz mi? Gerekli hesaplamalar yaparak IP adreslerini tanmlayabildiniz mi? Evet Hayr
DEERLENDRME
Deerlendirme sonunda Hayr eklindeki cevaplarnz bir daha gzden geiriniz. Kendinizi yeterli grmyorsanz, renme faaliyetini tekrar ediniz. Btn cevaplarnz Evet ise lme ve Deerlendirmeye geiniz.
29
1.
1100 0011.1000 0110.0100 0011.1100 1000 IP adresi aadakilerden hangisidir? A) 195.134.67.200 B)192.143.0.25 B) 212.45.142.131 D) 24.124.1.56 130.15.1.5 hangi snf IP adresidir? A) A snf B) B snf C) C snf D) D snf
2. 3.
IP adresi 192.128.63.50, alta maskesi 255.255.255.0 ise a adresi aadakilerden hangisidir? A) 192.0.0.0 B) 123.4.53.50 C) 192.128.63.0 D) 123.4.0.0 132.45.53.4 ve 132.45.78.123 IP adreslerine sahip bilgisayarlar iin aada verilenlerden hangisi dorudur? A) kisi de farkl alarda olduklar iin router ile iletiime geer. B) Ayn ada olduklar iin dorudan iletiime geer. C) Bilgisayarlar birbiri ile bilgi alverii yapamaz. D) Her iki IP adresi C snf IP adresidir. Aadakilerden hangisi alt a maskesinin grevidir? A) Bilgisayarlar aras veri alveriini salar. B) Bilgisayarlara IP numaras verir. C) D ve E snf IP adresleri iin tasarlanmtr. D) Bilgisayarlarn a tanmlayclarn bulmay salar.
4.
5.
DEERLENDRME
Cevaplarnz cevap anahtaryla karlatrnz. Yanl cevap verdiiniz ya da cevap verirken tereddt ettiiniz sorularla ilgili konular faaliyete geri dnerek tekrarlaynz. Cevaplarnzn tm doru ise bir sonraki renme faaliyetine geiniz.
30
ARATIRMA
Okulunuzda IP ynlendirme cihaz olup olmadn aratrnz. Ynlendirici olarak kullanlan cihazn alma prensibini aratrnz. Yerel bir ada btn bilgisayarlarn internete balanabilmesi iin IP ynlendirme cihazlar kullanmak gerekli midir? Aratrnz.
3. IP YNLENDRME
IP ynlendirme, TCP/IP alarnn bel kemii denilebilir. Alar aras IP paket aktarm, paketlerin en uygun yollar takip ederek bilgisayar sistemleri arasnda gidip gelmesi IP ynlendirme tarafndan gerekletirilir. Ynlendirme grevi, temel olarak ynlendiriciler ve geit yolu cihazlarna braklmtr. Komple a oluturulmasnda, balant/geit noktas konumuna sahip bu cihazlarn baars ve ynlendirmede kullandklar algoritmalar gz nne alnmas gereken nemli unsurlardr. Yaln (tek segmentli) bir TCP/IP ada IP ynlendirmeye o kadar gerek yoktur. Sistemlere yalnzca IP adresi ve a maskesinin ayarlarnn yaplmas yeterli olur nk btn aktarm LAN ierisinde kalmaktadr. Ancak bir a, birka tane LANn birlemesinden olumusa veya internet gibi global bir aa balysa sistemlere yerletirilen IP bilgilerine ek olarak ynlendirme bilgileri de verilmelidir. Ynlendirme iinin gerekletirilmesi iin sistemler zerinde ynlendirme tablosu (routing table) tutulur. Bu tablo, gnderilecek veri paketlerinin alcsna ulamas iin hangi yolun izleneceini belirten ynlendirme bilgilerini tutar. Bu bilgiler, ya a yneticisi (network administrator) tarafndan elle verilir ya da kullanlan ynlendirme algoritmasnca doldurulur ve gncellenir.
31
Eer mevcut a ekil 3.1deki gibi ise ynlendirme ileri biraz karr. ekilde internet, Bitnet, torosnet gibi tane geni alan a (WAN) ve farkl topolojilere sahip drt tane de LAN grlmektedir. Bu balant ekli, aslnda var olan uygulamann bir kesitidir denilebilir. ekildeki LANlar herhangi bir kurumdaki LANlar olabilir. ekil 3.1e bakldnda farkl topolojilere sahip LANlarn birbirine kpr cihazlar ile baland ve daha sonra iki ayr noktadan ynlendirici ile internet ve bitnet alarna baland grlr. Genel olarak bir IP paketi, alcsna ulancaya kadar birok noktadan geer. Her nokta, gelen veri paketi kendisine ait deilse onu alcsna ulaacak biimde doru ynlendirmelidir. Bunun iin ynlendirme grevi yaplan her noktada, ynlendirme parametrelerine baklarak gelen veri paketleri ileriye doru aktarlr.
olarak baka bilgilerin yerletirilmesine gerek duyar. Minimum IP bilgisi ynlendirici iin gerekli arttr ancak bu yeterli deildir. nk IP bilgisi ynlendiricinin aa eklenmesini yani ona a zerinden eriilmesini salar ancak onun asl ilevi olan ynlendirme grevini yerine getirmesini salamaz. Ynlendiricilere minumum IP bilgisi dnda WAN portu kurulumu iin gerekli parametreler ve hangi ynlendirme algoritmasnn yaplaca bilgisi verilmektedir.
33
IP ynlendirici cihazlar kendilerine gelen paketleri, paket bal ierisindeki alc adres ksmna ve kendinde tanml a maskesi deerine bakarak gitmesi gereken ilgili porta aktarr. Ynlendiriciler tekil olarak IP adresinin kendisiyle deil de a adresiyle ilgilenir. Ynlendirici, yalnzca bir LAN balayan bir kenar ynlendirici ise fazla karmaa yoktur. Ancak merkez ynlendiricilerde birok port vardr. Ynlendirme tablosu olduka dolu ve karmak olabilir. rnein, paket balndaki alc IP adresi ile kendine girilmi olan a maskeleri ileme sokulduunda ayn paket iin birden ok alc portu kabilir. Bu durumda hangi porta ynlendirme yapaca, en uzun uyuma gsteren algoritmaya gre belirlenir yani en kk alt aa ynlendirme yaplr. Bundan dolay karmak ynlendirme tablolar dzenlenirken dikkatli olunmaldr. Aksi durumda baz IP adreslerine ulalmyor olabilir.
34
UYGULAMA FAALYET
UYGULAMA FAALYET
IP adreslerini tespit edip gerekli ynlendirmeleri yapnz.
lem Basamaklar
IP ynlendirmesine ihtiya duyulan elemanlar belirleyiniz. IP adreslerini tespit ediniz. Gerekli yazlm ayarlarn yapnz.
neriler
IP ynlendirici cihazlarn ayarlarna dikkat ediniz. IP ynlendirme cihazlarnn almasn etkileyecek komut veya komutlar kullanrken dikkat ediniz.
KONTROL LSTES
Bu faaliyet kapsamnda aada listelenen davranlardan kazandnz beceriler iin Evet, kazanamadnz beceriler iin Hayr kutucuuna (X) iareti koyarak kendinizi deerlendiriniz. Deerlendirme ltleri 1. IP ynlendirmesine ihtiya duyulan elemanlar belirleyebildiniz mi? 2. IP adreslerini tespit ettiniz mi? 3. Gerekli yazlm ayarlarn yapabildiniz mi? Evet Hayr
DEERLENDRME
Deerlendirme sonunda Hayr eklindeki cevaplarnz bir daha gzden geiriniz. Kendinizi yeterli grmyorsanz, renme faaliyetini tekrar ediniz. Btn cevaplarnz Evet ise lme ve Deerlendirmeye geiniz.
35
DEERLENDRME
Cevaplarnz cevap anahtaryla karlatrnz. Yanl cevap verdiiniz ya da cevap verirken tereddt ettiiniz sorularla ilgili konular faaliyete geri dnerek tekrarlaynz. Cevaplarnzn tm doru ise bir sonraki renme faaliyetine geiniz.
36
ARATIRMA
Sizce neden a gvenlii olmaldr? Aratrnz. evrenizde veya okulunuzda bulunan a sisteminin gvenlii nasl
salanmaktadr? Aratrnz. Gnmzde kullanlan iletim sistemleri, yerel alardan veya internet ortamndan gelebilecek saldrlara kar ne kadar gvendedir? Aratrnz.
4. A GVENL
37
Gnmzde bilgisayar alarndan beklenen hizmet ve hizmet kalitesi her geen gn artmaktadr. Bilgisayarlarn birbiriyle iletiim kurabilmesi, birbiriyle veri alveriinde bulunmas bilgisayar alarndan beklenmektedir. Bu nedenle kurum ve kurulular kendi bnyesinde a oluturmakta, internet gibi byk bir aa balanmaktadr. Artk gnmzde byk ya da kk bilgisayar alar kurulmakta, tek bir cihaz yardmyla da internet dnyasna tm bilgisayarlar giri yapmaktadr. Durum byle olunca da veri alveriinde, dosya paylamnda bulunurken zel bilgilerimizin dier kullanclarn eline gemisine istemeyiz. Bundan dolay kurum ve kurulular, alarnn gvenliini salamak zorunda kalmtr. Bu blmde a gvenliinin nasl saland ve ne gibi ayarlamalar yapld aklanacaktr. nternetin gelimesiyle beraber a uygulamas da beklenmedik ekilde genilemitir. Bu gelimeye paralel olarak a kurulup altrldktan sonra a ynetimi ve a gvenlii byk nem kazanmtr. Artk bilgisayar alar deerlendirilirken a perfonmans ile a gvenlii lt alnmtr.
38
39
ekil 4.2de grld gibi merkez ve ubelerin internete klarnda birer gvenlik duvar vardr. Bu gvenlik duvarlarnn ilevi, iletiim yaplacak noktalar arasnda tnel oluturmasdr. Bu tnel zerinden, zel bilgi ve veri internete karlmadan nce ifrelenir ve gelen ifrelenmi paketlerden gerek veri elde edilir. Dolaysyla VPN uygulamasnda en nemli konu, aktarlacak bilgi ve verinin ifrelenmesidir. zel sanal a uygulamasnda biri kullanc-geit yolu, dieri geit yolu-geit yolu olarak adlandrlan iki tr balant yaplr. Kullanc-geit yolu balantsnda dorudan kullanc bilgisayar ile geit yolu arasnda ifrelenmi tnel kurulur. Kullanc tarafndan ykl olan yazlm gnderme ileminde, kullanc nce veriyi ifreler ve VPN zerinden alc taraftaki geit yoluna gnderir. Geit yolu, nce kullancnn geerli biri olup olmadn sorgular ve gnderilen ifrelenmi paketi zerek korunmu alandaki alcya gnderir. Alcnn verdii cevap da yine nce geit yoluna gider ve orada ifrelenerek kullancya gnderilir. Geit yolu-geit yolu balantsnda ekil 4.2de grld gibi birbiriyle iletiimde bulunacak sistemler, kendi taraflarnda bulunan geit yoluna bavurur. Kullanc sistemleri, verilerini geit yollarna gnderir ve onlar kendi aralarnda ifreli olarak iletiimde bulunur. Bu durum farkl yerlerdeki LANlarn internet gibi herkese ak a zerinden gvenli bir ekilde balanmas iin kullanlr.
Yazlm ve donanm tabanl olarak gelitirilebilen gvenlik duvarlar genel olarak aadaki grevleri yerine getirir: Kullanc snrlamas yaplr. A ii eriim ve a d eriim kstlamas ve gzlenmesini salar. 40
Gvenlik duvar, zel a ile internet arasna konan ve istenmeyen eriimleri engelleyen bir sistemdir. Bu sistemle a gvenlii tam olarak salanr ve eriim haklar dzenlenebilir. Ancak gvenlik duvar kurulurken dikkat edilmesi ve gz nne alnmas gereken baz noktalar vardr. Bunlardan en nemlisi gvenlik duvarnn belirli bir stratejiye gre hazrlanmasdr. Gvenlik duvar kurulmadan nce ne tr bilgilerin korunaca, ne derecede bir gvenlik uygulanaca ve kullanlacak gvenlik algoritmalar nceden belirlenmelidir. Gvenlik duvarnn sistem zerinde tam olarak etkili olabilmesi iin a ortam ile internet arasndaki tm trafiin gvenlik duvar zerinden geirilmesi gerekir. Gvenlik duvarlarnn tercih edilmesinin en byk sebeplerinden biri de adres dnm (NAT, Network Adres Translation) zelliidir. Sadece tek bir IP adresi ile tm a kullanclar internete kabilir ve yerel a ortamndaki IP adresleri tamamen internet ortamndan yaltlm ekilde kullanlabilir. Bylece herhangi bir ISS (nternet Servis Salayc) deiikliinde i IP adresleri deiikliine gerek kalmaz.
4.3.2.1. Paket Szmeli Gvenlik Duvar (PFFW) Gvenlik duvar oluturmann en kolay yollarndan birisidir. Veri paketlerinin balk alan iindeki bilgilerine bakarak kontrol edip istenmeyen paketleri kar tarafa geirmez. Bu amala bir kurallar tablosu oluturulur. Bu tabloda belirtilen kurallara uymayan paketler kar tarafa geirilmeyip szlr. Belirli bir dzeyde koruma salayan bir gvenlik duvardr. Ancak baz durumlarda ok sk bir koruma salayamaz. Alarda IP ynlendiriciler, paket szmeli gvenlik duvar yeteneini desteklemektedir. Paket szmeli gvenlik duvarlar OSI bavuru modeline gre 3. katman olan a katmannda alr. Bundan dolay bu tr gvenlik duvarlar 3. seviye gvenlik duvar olarak sylenir. Dolaysyla bu tr gvenlik duvar oluturmann en kolay yolu konfigre edilebilir bir ynlendirici kullanmaktr. Bilindii gibi ynlendiriciler, ynlendirme ilemini alar aras ortam iinde gelen paketlerin alc ve gnderici adreslerine bakarak yapar. Paket szmeli gvenlik duvarlar da benzer yapda alr. Gelen paketler balk alan ierisindeki bilgilere baklarak analiz edilir, ona gre geirilir veya atlr. Tm IP ynlendiriciler paket szmeli gvenlik duvar yeteneini desteklemektedir. Bu yetenek ya ynlendiriciyle beraber hazr olarak gelir ya da daha sonra yazlm gncellemesi yaplarak ynlendiriciye yklenir. Belirli Servise Bal PFFW
Paket szmeli gvenlik duvar kullanlan algoritmaya gre alr. Bu gvenlik duvar sadece belirli bir hizmet portu zerinden ilem yapar. TELNET sunucu sistemi uzak balantlar 23. TCP portundan, SMTP sunucu sistemi ise 25.TCP portu zerinden dinleme ilemi yapar. Bu sistemde izin verilmi olan ana makine listesi bulunur. Bu listede bulunan ana makinelere uygun port numarasyla gelen paketlere gei izni verilir. Dierlerinin geii engellenir. PFFW in Deerlendirme
Karmak bir szgeleme kullanlacaksa kurulum ilemi gittike zorlar. Genellikle szgeleme arttka ynlendirici zerinden geen paket says azalr. Ynlendirici gvenlik duvar ilevini yerine getirirken kendi grevi yannda yani paketin balk bilgisini ynlendirme tablosunda arama ilemi yannda szme ilemlerini de o pakete uygulamaldr. Bu durumda szme yapmak iin ynlendiricinin ilemciyi (CPU) kullanmas gerekir. Bu da performansta bir dkle yol aabilir. 42
PFWR kullanmnda IP paketleri seviyesinde eriim denetimi yapldndan ve uygulama seviyesine klamadndan gvenlik baz uygulamalar iin yetersiz kalabilir. 4.3.2.2. Devre Dzeyli Geit Yolu (Circuit Level Gateway) OSI bavuru modelinin 4. katman olan oturum katman dzeyinde alr. zel an gvenlii iin arada vekil sistem kullanlr. Paket szmeli gvenlik duvarna gre daha sk koruma salar. Oturum kurulurken ilgili port sorgulamalar yaplr ve oturum aldktan sonra o portu, oturumun kurulmasn balatan taraf sonlandrncaya kadar srekli ak tutar. Bu koruma duvarnda oturum bir kez kabul edilip kurulduktan sonra her paket iin denetim yaplmaz. En nemli zellii i kullanc ile d bir sunucu arasnda dorudan balant olmamasdr. zel an yapsn darya kar iyi korur. 4.3.2.3. Uygulama Dzeyli Geit Yolu (Application Level Gateways) Uygulama dzeyli geit yollar en sk koruma salayan gvenlik duvar tekniidir. OSI bavuru modeline gre uygulama katman dzeyinde alr. Bylelikle tam denetim yapma imkn sunar. Genel olarak gl bir i istasyonu zerine yklenen yazlmla gerekleir. Bu tr geit yollar devre dzeyli geit yollarna benzer. Ancak oturum aldktan sonra bile paketlerin snamas yaplr. Bu da beklenmedik saldrlara kar korumay kuvvetlendirir. Bu yntem, a yneticisine paket szmeli ve devre dzeyli geit yoluna gre daha gvenli, daha sk bir koruma salama imkn verir. stenen programlarn almasna izin verilirken yasak olanlar engellenir. Bu tr gvenlik duvar kullanlmas durumunda a yneticisine byk bir sorumluluk der. Bu sorumluluklar yerine getirmek iin a yneticisi gerekli kurulumlar kendisi yapmaldr. Uygulama dzeyli geit yolunda, kabul edilecek veya kabul edilmeyecek kurallar ieren bir tablo oluturulur. Bu tablo zerindeki bir kurala uyan ve geme hakk elde eden paketler kar tarafa geirilir. Aksi durumda bu paketlerin geileri engellenir.
43
lem Basamaklar
A sistemi iin kullanlacak gvenlik seviyesini tespit ediniz. Gvenlik yazlmn sisteme ykleyiniz. stenen gvenlik ayarlamalarn yazlm araclyla yapnz.
neriler
Gvenlik duvarn (firewall) olutururken a sisteminin almasn etkileyecek komut ya da komutlar kullanrken dikkat ediniz. Enerji ile alan donanm paralarnn gerilimlerine dikkat ediniz.
KONTROL LSTES
Bu faaliyet kapsamnda aada listelenen davranlardan kazandnz beceriler iin Evet, kazanamadnz beceriler iin Hayr kutucuuna (X) iareti koyarak kendinizi deerlendiriniz. Deerlendirme ltleri 1. A sistemi iin kullanlacak gvenlik seviyesini tespit edebildiniz mi? 2. Gvenlik yazlmn sisteme ykleyebildiniz mi? 3. stenen gvenlik ayarlamalarn yazlm araclyla yapabildiniz mi? Evet Hayr
DEERLENDRME
Deerlendirme sonunda Hayr eklindeki cevaplarnz bir daha gzden geiriniz. Kendinizi yeterli grmyorsanz, renme faaliyetini tekrar ediniz. Btn cevaplarnz Evet ise lme ve Deerlendirmeye geiniz.
44
DEERLENDRME
Cevaplarnz cevap anahtaryla karlatrnz. Yanl cevap verdiiniz ya da cevap verirken tereddt ettiiniz sorularla ilgili konular faaliyete geri dnerek tekrarlaynz. Cevaplarnzn tm doru ise Modl Deerlendirmeye geiniz.
45
2. 3. 4.
Aadaki protokollerden hangisi a ierisinde elektronik mektup alveriini salar? A) HTTP B) SMTP C) ICMP D) TCP Aadaki eletirmelerden hangisi yanltr? A) edu Eitim kurumlar B) com Ticari kurulular C) mil Askeri kurumlar D) gov Ticari olmayan hkmete de bal olmayan kurumlar nternet zerinde dosya aktarm yapmak iin kullanlan protokol aadakilerden hangisidir? A) TELNET B) SNMP C) FTP D) WINS Aadakilerden hangisi ulam katman protokollerindendir? A) IP-ICMP B) TCP-UDP C) HTTP D) DNS
5.
6. 7. 8.
Aadakilerden hangisi Ethernet kartnda bulunan, deitirilemeyen bir adrestir? A) ARP B) UDP C) MAC D) WINS Aadakilerden hangisi TCP/IP mimarisi katmanlarndan deildir? A) Sunum B) Uygulama C) Ulam D) Fiziksel
9.
1100 0011.1000 0110.0100 0011.1100 1000 IP adresi aadakilerden hangisidir? A) 195.134.67.200 C)192.143.0.25 B) 212.45.142.131 D) 24.124.1.56 130.15.1.5 hangi snf IP adresidir? A) A snf B) B snf C) C snf D) D snf
10. 11.
IP adresi 192.128.63.50, alta maskesi 255.255.255.0 ise a adresi aadakilerden hangisidir? A) 192.0.0.0 B) 123.4.53.50 C) 192.128.63.0 D) 123.4.0.0
46
12.
132.45.53.4 ve 132.45.78.123 IP adreslerine sahip bilgisayarlar iin aada verilenlerden hangisi dorudur? A) kisi de farkl alarda olduklar iin router ile iletiime geer. B) Ayn ada olduklar iin dorudan iletiime geer. C) Bilgisayarlar birbiri ile bilgi alverii yapamaz. D) Her iki IP adresi C snf IP adresidir. Aadakilerden hangisi alt a maskesinin grevidir? A) Bilgisayarlar aras veri alveriini salar. B) Bilgisayarlara IP numaras verir. C) D ve E snf IP adresleri iin tasarlanmtr. D) Bilgisayarlarn a tanmlayclarn bulmay salar.
13.
Aadaki cmlelerin banda bo braklan parantezlere, cmlelerde verilen bilgiler doru ise D, yanl ise Y yaznz. 14. 15. 16. 17. 18. 19. 20. ( ) Birbirinden bamsz yerel alar iletiim kurabilmek iin IP ynlendiricili (router) cihazlar kullanr. ( ) IP ynlendiricili cihazlarn IP deerleri sabittir, deitirilemez. ( ) Kayt alan dzeyinde koruma en sk korumadr. ( ) Gvenlik duvar (firewall) aa dardan balanmay ve a zerinde sunulan hizmetlere eriimi denetler. ( ) zel sanal a (Virtual Private Networks) kii ve kurumlara ait olan zel bilgi ve verileri paylama amaz. ( ) Gvenlik duvar (firewall) ile a eriimlerine kstlama ve izin verme ilemi yaplr. ( ) IP ynlendirmenin amac alar aras IP paket aktarm, paketlerin en uygun
47
48
49
NERLEN KAYNAKLAR
RENCK Blent, Rfat LKESEN, Bilgisayar Haberlemesi ve A Teknolojileri, Papatya Yaynclk, stanbul, Ankara, zmir, Adana, 2002. YILDIRIMOLU Murat, TCP/IP ve nternetin Evrensel Dili, Pusula Yaynclk, 2004.
50
KAYNAKA KAYNAKA
RENCK Blent, Rfat LKESEN, Bilgisayar Haberlemesi ve A Teknolojileri, Papatya Yaynclk, stanbul, Ankara, zmir, Adana, 2002. YILDIRIMOLU Murat, TCP/IP ve nternetin Evrensel Dili, Pusula Yaynclk, 2004. LKESEN Rfat, Veri Yaplar ve Algoritmalar, Papatya Yaynclk, 2002.
51