Bilgisayar Ağlarında Güvenlik
Dünyadaki teknolojik gelişmelere paralel olarak daha iyi ses kalitesi ve sağladığı ek servisler (yüksek hızda veri iletimi, az data kaybı vs.) gibi nedenlerden dolayı iletişim analog yapıdan sayısal yapıya dönüştürülmektedir. Bilgi çağı, insanlar ve kuruluşlar arasında bilgi aktarımının hızlı ve etkin olarak yapılmasını gerektirmektedir.
Elektronik ve iletişimdeki hızlı gelişmeler dünyayı haberleşme açısından küçük bir köye (global köy) döndürmektedir. Kişisel bilgisayarların ve iş istasyonlarının uygun fiyatla ve kullanımı rahat programlarla ortaya çıkması yaşam biçimimizi değiştiren yeni teknolojileri ortaya çıkarmıştır.
II. Veri haberleşme sistemleri
Bilgisayarların, veri haberleşmesinin ve ağların amacı veriyi bilgiye çevirmektir. Veri bir bilgisayarda saklanır ve bir haberleşme sistemi üzerinden ikilik tabanda (0 ve 1' ler biçiminde) iletilir.
Bir bilgisayardaki bitler elektrik işaretinin polarizasyon seviyeleri ile gösterilirler. Bir bilgisayardaki saklama elemanı içindeki yüksek-seviye işareti 1'i ve alçak-seviye işareti 0'ı gösterebilir. Bu elemanlar birlikte dizilerek belirlenmiş kodlara göre sayı ve karakterleri oluştururlar.
Veri; haberleşme yolu üzerinden (örneğin telefon hattı) bilgisayar-yönlendirmeli cihazlar arasında elektrik işaretleri ve bit katarları ile iletilir. Bu elektrik işaretleri ve bit katarları harf ve karakterleri belirtir. Bazı durumlarda, veri ışık işaretleri ile gösterilir (fiber optik hatlarda). Bit dizileri kullanıcı verisini ve kontrol verisini tanımlar. Kontrol verisi, haberleşme ağını ve kullanıcı verisi akışını yönetmek için kullanılır.[2]
ııı. Model, protokol ve gerçekleştirim kavramları
III.1 Model,Protokol ve Gerçekleştirimler
Modeller, bilgisayar ağı protokollerinin sağlaması gereken servisleri tasarlamaktadır. En popüler olan model ISO tarafından tasarlanan yedi katmanlı OSI modelidir.
OSI modelinden önce tanımlanan bir model, Birleşik Devletler Savunma Bakanlığı, (Department of Defence) tarafından geliştirilmiş olan (DoD) modelidir. Bu model, 1970'lerin ortasında geliştirilmiş TCP/IP protokol suite'in modelidir. [5]
Yazılım ve donanım mühendisleri, protokolleri gerçekleştirerek ürünler oluşturmaktadırlar. Belli bir protokolü birden fazla firma gerçekleştirse bile aralarında farklılıklar olacaktır.
Ancak eğer protokoller, doğru olarak gerçekleştirilirse, farklı ürünlerin aynı protokol ile birbirleri iletişimi problem olmayacaktır.
III.2 OSI Referans Modeli
OSI Referans Modeli International Standards Organization (ISO) tarafından sunulan bir model üzerine geliştirilmiştir. Bu model ISO OSI (Open Systems Interconnection) Referans Modeli olarak anılır zira açık sistemlerin yani diğer sistemlerle haberleşmeye açık sistemlerin bağlantısı ile ilgilenir. OSI modeli yedi tabakadan oluşur. Bu tabakaların oluşturulmasında uygulanan prensipler: [5]
1- Değişik seviye bir ayırım gerektiğinde bir tabaka oluşturulmalıdır.
2- Her tabaka iyi tanımlanmış bir fonksiyonu yerine getirmelidir.
3- Her tabakanın fonksiyonu uluslararası standartlaştırılmış protokoller açısından seçilmelidir.
4- Tabaka sınırları arabirimler arası bilgi akışını en aza indirecek şekilde seçilmelidir.
5- Tabakaların sayısı belirgin fonksiyonların aynı tabakalar üzerinde atlama yapmayacak kadar geniş, mimariyi hantallaştırmayacak kadar az olmalıdır.
Yedi Tabakalı Model
Tanımlanan yedi tabaka:
7) Uygulama Katmanı: Uygulamalara değişik servisler sağlar.
Kullanıcı tarafından çalıştırılan tüm uygulamalar bu katmanda tanımlıdırlar. Bu katmanda çalışan uygulamalara örnek olarak, FTP (File Transfer Protocol), SNMP (Simple Network Management Protocol), e-mail uygulamalarını verebiliriz.
6) Sunum Katmanı: Sunum katmanı, kullanıcıların problemleri kendi başlarına çözüm bulmaları yerine onlara yeterli bir genel çözüm sunar. Kısaca, diğer alt katmanların aksine, bit'leri bir uçtan diğerine güvenilir bir biçimde iletimleri ile ilgilenmek yerine oturum katmanı iletilen bilginin söz dizimi ve semantiği ile ilgilenir.
Sunum servislerine tipik bir örnek standart, üzerinde anlaşılan bir şekilde veriyi kodlamaktır. Birçok kullanıcı programları rasgele bit dizilerini kendi aralarında değişimini gerçekleştirmez.
Şahıs adları, tarih, para gibi şeyleri değişirler. Bu başlıklar, karakter dizileri, tamsayılar, kayan nokta numaraları gibi daha basit veri yapıları olarak ifade edilirler.
Değişik bilgisayarlar karakter dizileri ve tamsayıları ifade etmek için değişik kodlar kullanırlar. Bu bilgisayarlar arasında veri değişimini standartlara uygun olarak yerine getirmek sunum katmanının işidir.
Sunum katmanı ayrıca bilginin sunulmasının diğer yönleri ile de ilgilidir. Örneğin veri sıkıştırması iletilmesi gereken bir sayısını artırmak için kullanılabildiği gibi kriptografi güvenlik ve kullanıcı doğrulaması için sık sık kullanılır.
5) Oturum Katmanı: Haberleşme ile ilgili olmayan problemlerle ilgilenir. Oturum katmanı, değişik makinelerdeki kullanıcıların birbirleri arasında oturumlar açmasını sağlar.
Bir oturum taşıma katmanının yaptığı gibi sıradan veri taşıma işini gerçekleştirdiği gibi, bazı uygulamalarda çok yararlı gelişmiş hizmetler de sunar. Bir oturum bir kullanıcının uzaktaki zaman-paylaşımlı bir sisteme bağlanmasını (Log on, log in) veya iki makine arasında dosya transferi yapmasını sağlar.
Oturum katmanın sunduğu hizmetlerden biri de sistemlerin karşılıklı iletimlerinin yönetimidir. Oturumlar aynı anda tek yönlü veya aynı anda çift yönlü veri akışına izin verebilirler. Eğer trafik tek yönlü ise oturum katmanı iletim sırasının kimde olduğu konusunda yardımcı olur.
İlgili diğer bir oturum hizmeti token yönetimidir. Bazı protokoller için, her iki tarafın aynı anda aynı işlevi yerine getirmeye çalışmaması çok önemlidir.
Bu aktiviteleri yönetmek için oturum katmanı taraflar arasında değiştirilebilecek tokenlar sağlar. Token' a sahip taraf kritik uygulamayı çalıştırma hakkına sahip olur.
Diğer bir oturum servisi senkronizasyondur. Oturum katmanı veri akımının içine kontrol noktaları yerleştirir böylelikle bir çökmeden sonra en son kontrol noktasından sonraki veri gönderilir.
4) Taşıma Katmanı: Uçtan uca haberleşme kontrolünü sağlar.
Aktarım Katmanı ağın karmaşıklığını üst katman işlevlerinden gizlemek için tasarlanmıştır. Yüksek düzey mesajları segmentlere bölümler ve segmentleri güvenilir biçimde Oturum ya da daha üst katmanlara iletir.
Aktarım Katmanı genelde güvenilir veya bağlantı-tabanlı servislerin yokluğunu dengelemektedir. Güvenilir kelimesi tüm verinin her zaman ulaştırılabileceği anlamına gelmemektedir.
Örneğin eğer kabloda bir kopukluk olursa Aktarım Katmanı verinin ulaştırılmasını garanti edemez. Halen, güvenilir Aktarım Katmanı protokol gerçekleştirimleri genelde verinin alındığı onaylar ya da reddeder.
Eğer alıcı birimde veri düzgün biçimde alınamamışsa, Aktarım Katmanı verinin yeniden gönderilmesini başlatabilir ya da üst katmanları haberdar eder. Üst katmanlar gerekli düzeltme işlemini gerçekleştirebilir ya da kullanıcıya bazı seçenekler sunabilir.
3) Ağ Katmanı:
Ağ üzerinde bilgiyi yönlendirir. Ağ katmanın temel görevi verinin ağın belirli konumlarına aktarılmasını sağlamaktır. Bu işlev Veri-bağlantı katmanının fiziksel adresler üzerinden yaptığına benzerdir.
Ancak Veri-bağlantı katmanın yaptığı işlem tek bir ağ üzerindedir. Ağ katmanı, internetwork olarak adlandırılan birbirinden bağımsız bir çok ağ arasındaki veri alış verişini düzenler.
Veri-bağlantı katmanı adreslemesi tek bir ağa veri iletimini sağlar ve alıcılara ulaşan verinin onlar için bir anlam ifade ettiği varsayımına dayanır. Buna karşılık Ağ katmanı internetwork içerisinde veriyi belirli bir ağa yönlendirir ve ilgili olmayan ağlara veri göndermez.
Ağ katmanı bu işlemi anahtarlama, adresleme ve yol belirleme algoritmaları kullanarak gerçekleştirir. Ağ katmanı aynı zamanda bir internetwork içerisinde aynı niteliklere sahip olmayan ağlar arasında doğru rota(yol) belirlenmesinden de sorumludur.
Ağ katmanı konu ve yöntemleri;
* Mantıksal olarak ayrı olan ağlarınız biricik ağ adresine sahip olurlar,
* Anahtarlama ile , internetwork üzerinde bağlantıların nasıl yapıldığı belirlenir,
* Yol belirleme işlemi, bilgisayar ve router'larm uygun veri hattını belirleyecek şekilde gerçekleştirilir,
* Internetwork içerisinde kabul edilen hata düzeyine göre değişik ağ bağlantı servisleri gerçekleştirebilir.
2) Veri Bağlantısı Katmanı: Bağlı uçlar arasında hata denetimini sağlar. Veri-Bağlantı katmanı protokol gerçekleştirimlerinin basit amaçlan aşağıda açıklanmıştır.
* Fiziksel katmanın bitlerini frame olarak adlandırılan mantıksal birimler halinde gruplandırmak (Byte gibi frame de sürekli devam eden bitler serisidir).
* Hata kontrolü (ve bazen düzeltilmesi),
* Veri akış kontrolü,
* Ağ üzerindeki bilgisayarların tanınması.
Diğer katmanların çoğu gibi Veri-Bağlantı katmanı da kendi kontrol bilgisini veri paketinin başına ekler.
Bu başlık alanında, kaynak ve hedef adres bilgisi (fiziksel ya da donanımsal), frame boyu bilgisi ve kapsanan üst katmanlar bilgisi içerilir.
Aşağıdaki ağ bağlantı elemanları Veri-Bağlantı Katmanı kapsamındadır.
* Bridge'ler,
* Akıllı hub'lar (intelligent hubs),
* Ağ arabirim kartları (Network interface boards).
Veri-Bağlantı Katmanının fonksiyonları genelde aşağıdaki iki alt katman arasında bölünmüş biçimde anılır.
1) Fiziksel Katmanı: İletim ortamına bağlantıyı sağlar. OSI Fiziksel katman protokol gerçekleştirimleri bitlerin aktarımındaki kuralların düzenlemesini gerçekleştirir. Fiziksel katman şunları tanımlar:
* Fiziksel ağ yapıları,
* Aktarım ortamının kullanımındaki mekanik ve elektriksel belirlemeler,
* Bit aktarım kodlama ve zamanlama kuralları.
Fiziksel katman, aktarım ortamının tanımını içermez. Bunun yanında Fiziksel katman protokol gerçekleştirimleri aktarım ortamına özeldir. Aşağıdaki ağ bağlantı birimleri Fiziksel katmanın kapsamındadır:
* Yoğunlaştıncı, hub, repeater gibi elektriksel sinyal üreten birimler.
* Birimlerin aktarım ortamıyla bağlantısını sağlayan, aktarım ortamı bağlantı donanımları.
* Sayısal-analog çevrimi yapan modem ve codec'ler.
OSI Fiziksel katmanı, ağ üzerinde birimlerin birbirlerine göre nasıl yerleştiklerini ve fiziksel aktarım ortamından bitlerin ne şekilde aktarılacağını belirler.
Fiziksel katman içinde, bağlantı türleri, fiziksel topoloji, Sayısal ve Analog sinyal kodlama teknikleri, band kullanımı, bit senkronizasyonu ve multiplexing önemli kavramları oluşturmaktadır.
III.3 DoD Referans Modeli
TCP/IP protokol grubu, OSI referans modeli hazırlanmadan önce oluşturulmuştur.
TCP/IP protokol grubu DoD modelini referans alır ve verilen bu model OSI modelinden farklı yapıdadır.
DoD modeli 4 ayrı katmandan oluşur. Bu katmanların OSI modelindeki karşılıkları aşağıdaki şekildedir. [5]
OSI'nin Uygulama,Sunum,Oturum katmanları DoD'un Uygulama katmanına, OSI'ini Aktarım katmanı, Aktarım katmanına ,OSI'nin Ağ katmanı, İnternet katmanına ve OSI'nin Veri-Bağlantı ve Fiziksel katmanı , Ağ arayüzü katmanına karşılık gelir.
IV. TCP/IP Protokol grubu
IV.1 Niçin TCP/IP Protokolü?
TCP/IP protokolleri belirli hedeflerin gerçekleştirilebilmesi için geliştirilmişlerdir. Bu hedefleri oluşturan talepler şunlardır:
* Üreticiden bağımsız tüm üreticilerin ürünlerini içine alan bir kapsam dahilinde, sistemleri birbirleriyle görüştürme (IBM, DEC, Sun, HP vb).
* Tüm ölçekteki bilgisayarları birbirleriyle görüştürme (PC, Midrangesystems, Mainframe vb).
* UNIX sistemlerle tam uyumluluk.
* Dinamik router teknolojisinin desteklenmesi.
* Client/Server bilgi işleme teknolojisinin desteklenmesi.
Birçok OSI 1. ve 2. katman protokollerinin desteklenmesi (Ethernet, Token-ring, FDDI vb).
* Peer-to-Peer yapılanmasına uygun teknolojiye sahip olması.
IV.2 İnternet Katmanı Protokolleri
IP'nin sorumluluğu üst katmandan gelen segment ya da datagram'ları birbirine bağlı ağlar üzerinden iletmektir. IP bu segment ve datagram bilgilerini TCP veya UDP den alır.
Arp: Internet adreslerini fiziksel adrese dönüştürmek için kullanılır.
RARP: Fiziksel adresin bilindiği durumlarda bu adrese atanmış IP adresinin bulunması için kullanılan bir protokoldür.
IP (İnternet Protokolu): Temel olarak datagram paketleri için bir iletim yolu belirleme işlevini yerine getirir.
IP'nin sağladığı fonksiyonlar :
* Global dresleme yapısı,
* Servis isteklerini tiplendirme,
*Paketleri iletim için uygun parçalara ayırma,
* Hedef hostta paketleri tekrar birleştirme.
IV.3 Aktarım Katmanı Protokolleri
TCP (Transport Control Protocol):Son uçtan- Son uca (End-to-end) veri dağıtım (akış) fonksiyonu sağlar. Verinin güvenli iletimi için gerekli mekanizmaları içerir.
Bu mekanizmalar Hata denetimi (checksum), Sıra numarası (sequence number), Onay (acknowledge) ve Yeniden gönderim (retransmit) fonksiyonlarını içerir.
TCP güvenli ve sıralı hale getirilmiş veriyi uygulama katmanına sunar.
UDP(User Datagram Protocol):Güvenli bir iletişim fonksiyonuna gerek duyulmadığı durumlarda, uygulamalar için TCP den daha iyi bir performans sağlar.
Not: Güvenli iletişim bir çok kontrol mekanizmasını işletim sırasında devreye soktuğu için üzerinde çalıştığı host'a yük getirir ve iletişimde de bir miktar gecikmeye neden olur.
IV.4 Uygulama Katmanı Protokolleri
OSI referans modelindeki Uygulama, Sunum ve Oturum katmanlarının bütününe karşılık gelir.
TCP/IP Protokol grubundaki Uygulama protokolleri:
Telnet:Bir uzak terminal, erişim protokolüdür. TCP'nin servislerini kullanır. Terminal servisi sunan bir Hosta bağlanmak için kullanılır.
FTP (File Transfer Protocol):Bir hosttan diğerine kolay dosya transferi yapmak için kullanılır. TCP'nin servislerini kullanır. Böylelikle dosyaların doğru ve güvenli bir şekilde transferi garantilenmiş olur.
SMTP (Simple Mail Transfer Protocol):Elektronik posta hizmeti sunar. Posta'ların(mail) güvenli bir şekilde adreslerine ulaşabilmesi için TCP servislerinden yararlanır.
DNS (Domain Name System):Internet üzerindeki hostların isimlerini ve bunlara karşılık gelen IP adreslerini veri tabanı halinde tutmayı sağlayan bir protokoldür. İsim (Name) kullanarak servis almak isteyen protokol veya uygulamalara ilgili host'un IP adresini temin etmek için kullanılır. Genelde UDP'nin servislerini kullanır.
SNMP (Simple Netvvork Management Protocol):TCP/IP hostlarını standart birtakım ağ yönetim (management) fonksiyonlarını kullanarak yönetme işleminde kullanılır. UDP servislerini kullanır.
V. LAN ve WAN Teknolojileri
Yerel alan ağları ( LAN'lar), aynı çalışma ortamında birbirleriyle ilgili işlerde çalışan bir topluluk içinde veri alış verişi ve bilgisayarların CPU, disk gibi kaynaklarının ve yazıcı, çizici gibi cihazların paylaşması amacıyla geliştirilmiştir. LAN'lar da temel özellik, sistemlerin aynı ortamda veya birbirlerine yakın mesafede olmasıdır.
Bu nedenle sistemler arasında kullanılacak kabloların seçiminde büyük esneklik vardır ve kablolama alt yapısı bir kez kurulduktan sonra maliyetsiz bir iletişim ortamı sağlar. Ethernet, Jetonlu Halka ( Token Ring), Jetonlu Yol (Token Bus ), 100VG-AnyLAN , ATM ve FDDI LAN uygulamalarında kullanılan teknolojilerdir. [4]
V.1 Ethernet (IEEE 802.3)
Ethernet ilk olarak ,deneysel çalışmaların sonucu olarak ortaya çıkmıştır. İlk Ethernet LAN 2.94 Mbps hızında idi. Ancak günümüzde bilgisayar haberleşmesine olan gereksinim artması ve mikroelektronik teknolojinin gelişmesine paralel olarak daha yüksek hızlara, 10 Mbps, 100 Mbps ve 1000 Mbps gibi hızlara kadar çıkılmıştır. Günümüzde Ethernet ve türevleri olan Fast Ethernet ,Giabit Ethernet LAN tarafında vazgeçilmez ( de Facto ) bir standart haline gelmiştir.
Bir IEEE standart olan 802. 3 ile Ethernet aslında birbirlerinden farklı standartlardır. Ancak ikisi arasındaki fark o kadar çok değildir ve genelde Ethernet ile 802.2 aynı şeylermiş gibi bahsedilir; farklardan biri çerçeve yapılarıdır. [3]
V.2 Yüksek Hızlı Ethernet (Fast Ethernet ,Gigabit Ethernet)
Ethernet ilk olarak kalın koaksiyel kablo üzerinden 10 Mbps hız için tanımlanmıştır. Daha sonra bazı sınırlamalar dahilinde, daha ekonomik olan ince koaksiyel uyarlaması yapılmıştır.
Ancak, bakır büklümlü çift ( UTP veya STP ) ve fiber optik (FO) kabloların veri iletişiminde kullanılması, fiziksel olarak yıldız topolojinin yaygınlaşması ve her geçen gün daha yüksek hızlara olan gereksinimden dolayı yüksek hızlı Ethernet teknolojileri ortaya çıkmıştır.
Fast Ethernet ve Gigabit Ethernet olarak adlandırılan bu teknolojiler sayesinde, 100 Mbps ve1 Gbps hızlara çıkılmaktadır.
3 100VG -AnyLAN
100VG-AnyLAN, IEEE'nin 802.12 komitesi tarafından tanımlanmış yüksek hızlı bir LAN teknolojisidir. 100Base-T gibi 100Mbps'lik bir iletim ortamı sunar.
Bu teknolojide yola erişim için Ethernet'te olduğu gibi CSMA/CD yöntemi kullanılmaz. CSMA/CD'ye göre erişim zamanı daha öngörülebilir bir yöntem olan DPMA (Demand Priority Access Medhod ) yöntemi kullanılır. DPAM, CSMA/CD'de çatışmalardan dolayı oluşan zaman kaybını yok eden ve portlara merkezi denetimli erişim sağlayan bir yöntemdir.
V.4 Jetonlu Halka (Token Ring)
İlk olarak IBM firması tarafından ( 1970'li yıllarda ) geliştirilen Jetonlu Halkada (Token Ring , TR) düğümler birbirlerine halka biçiminde bağlanırlar. Aktarım hızı olarak 4 ve 16 Mbps olan iki uygulaması vardır.
Jetonlu Halka IEEE 802.3 standardı ile hemen hemen özdeş tanımlamadır. Aralarındaki birkaç faktan biri, jetonlu halkada düğümler birbirlerine mantıksal olarak halka biçiminde, fiziksel görünüm olarak yıldız topoloji ile bağlıdırlar. 802.5'te ise bağlantı için bir topoloji tanımı yapılmamıştır.
Düğümlerin bir birlerine halka biçiminde bağlanmasından dolayı, her düğüm fiziksel olarak komşu 2 düğüme bağlıdır. Veri iletimi halkada tek yönlüdür. Bir t anında halkada en fazla bir tek çerçeve olabilir. Çerçeveler düğümlerden geçerken, her düğümde 1 bitlik bir gecikmeye uğrar . [3]
V.5 FDDI (Fiber Distributed Data Interface)
FDDI, iki yollu halka topolojiye sahip türevine göre 100 ile 2 Mbps'e kadar band genişliği sunan ve temelde fiber optik kablo kullanılmasına dayanan bir ağ teknolojisidir.
Bir LAN teknolojisi olarak geliştirilmesine karşın, Ethernet ve Jetonlu Halka tabanlı LAN'Iarın daha ucuz çözüm sunmaları ve uygulamada baskın olmalarından dolayı, FDDI daha çok Omurga (Backbone) ağ oluşturmak için kullanılmıştır.
FDDI'ın ilk uyarlaması 1980'li yılların ortalarında ANSI'nin X3T9.5 standart komitesi tarafından ortaya atılmış olup daha sonra ISO tarafından uluslararası tanımlaması yapılmıştır. FDDI ilk olarak fiber optik kablo üzerinden 100 Mbps'lik band genişliği sağlayacak bir LAN teknolojisi olarak düşünülmüştür.
Ancak daha sonraları Ethernet teknolojisi üzerindeki gelişmeler, Ethernet'in başlangıçta 2-5 Mbps olan band genişliğini sırasıyla 10, 100 ve 1000 Mbps'e çıkarmış ve diğer teknolojilere göre daha az maliyetli bir çözüm olmuştur.
Dolayısıyla çok ta büyükçe olmayan LAN uygulamalarında Ethernet çözüm olagelmiştir. FDDI ise, daha çok büyükçe LAN uygulamalarında veya kampüs uygulamalarında omurga ağ kurulması için seçenek olmuştur.
FDDI, LAN'ları birbirine bağlayan omurga uygulaması için hala en güvenilir teknolojidir' denilebilir. Özellikle türevleri olan FDDI-II ve FTOL teknolojileri, çoklu medya veya gerçek zaman uygulamalarının gereksinim duyduğu servis kalitesini (QoS) garanti etmektedirler. FDDI'ın fiber yerine bakır kablolar üzerinde çalışan türevi ise CDDI olarak adlandırılır. [1]
VI. Bilgisayar ağlarında güvenlik
Son yıllarda internetin ve internet üzerinden ticaretin gelişmesiyle birlikte, ağlar oluşabilecek saldırılara karşı zayıflık göstermeye başlamıştır. Ve ağların bu zayıflıkları, kritik iş uygulamalarında ürün kaybına ve şirketlerin ciddi anlamda zarar görmesine neden olmuştur.
Bilgisayar virüsleri, DoS saldırıları, şirket çalışanlarının hataları, bilgisayar ağları üzerinde hala büyük bir tehlike oluşturmaktadır.
Günümüzde İnternet, gerek kişisel gerekse iş ilişkileri arasındaki bilgi akışını sağlayan, dünyanın en büyük iletişim aracı haline gelmiştir. İnternetin tüm dünyada böylesine yaygın kullanımı, güvenlik tehlikelerini de artırmaktadır.
Önemli bir bilgi kaybı olabilir, gizlilik ihlal edilebilir (kredi kartı numarasının bulunması gibi) veya saatler hatta günler süren yükleme zamanları ortaya çıkabilir.
İnternetteki bu tür güvenlik açıkları, insanları İnternete karşı güvensizleştirebilir ve web tabanlı şirketlerin sonunu hazırlayabilir. Bu yüzden şirketler, güvenliklerini her geçen gün arttırmakta ve yeni tehditlere karşı önlem almak amacıyla yatırımlarını sürdürmek zorundadırlar.
VI.1 Güvenlik Mimarisinin Kurulması
Bilgi güvenliğinin merkezinde herşeyden önce, kurumun bir güvenlik politikası, ve bunu destekleyen bir yönetimi olmalıdır. Politikanın ardında, onun nasıl uygulanacağını anlatan prosedür ve kılavuzlar hazırlanmalı, çalışanlar politikaya uymamanın bir karşılığı olacağını ve şirketin konu üzerinde ne kadar titizlikle durduğunu anlamalıdırlar.
Tüm bu kılavuz, doküman ve politikalar herkesin anlayabileceği bir dilde ve açık olarak hazırlanmalı, herkesin ulaşabileceği bir yerde bulundurmalıdır.
Daha da ötesinden bu belgeler günün koşullarına göre güncellenmeli ve herkes okumakla yükümlü olmalıdır. Kurumun bilgi güvenliği prosedürleri hazırlanırken BS7799 (ISO17799) gibi bir standart yol gösterici olarak kullanılabilir.
Bu prosedürel önlemlerden sonra, sistem mimari anlamda güvenlik hesaba katılarak tasarlanmalı; sadece dışarıya açık sistemler (web sunucular), hem dışarıya hem içeriye açık sistemler (e-posta sunucuları), sadece içeriye açık sistemler (bazı veritabanı sunucuları) birbirlerinden ateş duvarları ile ayrılarak konumlandırılmalı ve bu noktalardaki faaliyetler saldırı önleme sistemleri ile monitör edilmeli, farklı bir noktada mümkünse sadece yazılabilir bir medyaya- kayıt edilmelidir.
VI.2 Güvenlik Politikalarının Belirlenmesi
Kurumların kendi kurmuş oldukları ve İnternet'e uyarladıkları ağlar ve bu ağlar üzerindeki kaynakların kullanılması ile ilgili kuralların genel hatlar içerisinde belirlenerek yazılı hale getirilmesi ile ağ güvenlik politikaları oluşturulur.
Güvenlik politikasının en önemli özelliği yazılı olmasıdır ve kullanıcıdan yöneticiye kurum genelinde tüm çalışanların, kurumun sahip olduğu teknoloji ve bilgi değerlerini nasıl kullanacaklarını kesin hatlarıyla anlatmasıdır. Güvenlik politikası olmadan güvenli bir bilgisayar ağı gerçekleştirilemez.
Ağ güvenliğinin sağlanması için gerekli olan temel politikalar aşağıda sıralanmıştır:
Kabul edilebilir kullanım (acceptable use) politikası :
1- Erişim politikası
2- Ağ güvenlik duvarı (firewall) politikası
3- İnternet politikası
4- Şifre yönetimi politikası
5- Fiziksel güvenlik politikası
6- Sosyal mühendislik politikası
VI.3 Güvenlik Cihazları
Firewall (Ateş Duvarı) : Güvenlik duvarı özel ağ güvenlik sisteminin önemli bir parçasıdır. Bir güvenlik duvarı özel ağınız ile Internet gibi herkesin kullanımına açık ağ arasında güvenlik sağlar.
Bu iki ağ arasındaki tüm trafik güvenlik duvarı tarafından incelenmelidir. Güvenlik duvarından sadece izin verilen trafik geçebileceğinden Internet ile özel ağınız arasındaki haberleşmenin serbestlik seviyesini kontrol etmede kullanabilir.
Örneğin, hangi servislerin ağınıza girişine ve hangilerinin çıkışına izin verileceğine karar verebilirsiniz. Ayrıca dahili servislerinize kimlerin erişebileceğini belirleyebilirsiniz.
IDS (Saldırı Tesbit Cihazı) : Gelen giden tüm data trafiğini dinleyerek, üzerinde tanımlı bulunan atak imzalarıyla gelen giden tüm paketleri karşılaştırır. Eğer tanımlı bulunan bir atakla incelediği paketi eşleştirirse, o atağa atanmış olan görevi yerine getirir.Örneğin atak yapan host'u 1 saat boyunca bloklama yaptırılabilir.
VII. Sonuç
Gittikçe artan bir şekilde ağlar sayesinde bilgili dünya vatandaşları olarak kişisel ve toplumsal hayatı belirleyen kararlar alıp uygulayabiliyoruz.
Bilgisayar ağlarının yaygınlaşması toplumu oluşturan çeşitli birimler arasında hızlı, zahmetsiz iletişim ve bilgi paylaşımı sağladığından toplumun demokratik sürece katılması, farklı görüş ve önerilerin duyurulması, tartışılması ve kamu yönetiminin saydamlaşması konusunda yeni olanaklar ortaya çıkmaktadır.
Bilgisayar iletişimi, bilgi ve servislerin bir iletişim ortamı üzerinden belirli kurallar çerçevesinde paylaşımıdır.
Bilgisayar ağları; bilgisayar kaynakları ve elektronik nesne paylaşımını amaçlayarak başladı ve bir iletişim, paylaşım, dayanışma ve ortak çalışma ortamına dönüştü.
Bununla beraber bilgisayar ağlarında güvenliğe ihtiyaç duyulmaya başlandı.
Bilgisayar ağları kullanıcılardan kaynaklanan veya kullandıkları işletim sistemlerinden kaynaklanan veya da network protokollerinden kaynaklanan açıklar gün yüzüne çıkmaya başladı. Eğer güvenli bir bilgisayar ağı isteniyorsa mutlaka güvenlik politikaları oluşturmalıdır ve alınacak güvenlik cihazlarını ona göre tercih edilmeli ve ona göre konfigürasyon edilmelidir.
Bunun yanında kullanıcılara gerektiği kadar erişim sağlanmalı ve kullanıcıları bu konular hakkında bilinçlendirilmelidir.
* Cüneyt Bergel'in yazısı, Elektrik ve Elektronik Mühendisi, İstanbul Su ve Kanalizasyon İdaresi (İSKİ) - Bilgi İşlem Daire Başkanlığı, Elektrik Mühendisleri Odası yayın organı EMO Dergisi' nde yayımlandı.
** Kaynaklar
1. Andrev S. Tanenbaum;'Computer Networks' (3. Edition), Prentice-Hall, 1996.
2. WiliamStallings;'Data And Computer Communications' Prentice-Hall, 1997
3. Rıfat Çölkesen;'Bilgisayar Haberleşmesi Ve Ağ Teknolojileri'
Papatya Yayıncılık-Ekim 2000 2. Baskı
4. Frank J. Derfler,Jr.; Network Sistemleri Ve Bilgisayar Bağlantı Klavuzu,
Sistem Yayıncılık- Şubat 1998 2. Baskı
5. Selim UTKU ; 'Internetworking & TCP/IP'
Armada Yayıncılık 2000 3.Baskı
