TCP/IP Protokolü

BorderLiNe

Su an yasamakta oldugumuz ag güvenligi problemlerinin çogu TCP/IP protokolünün

güvenlik açıklarından kaynaklanmaktadır. Önlemler alabilmek için öncelikle IP

protokolünü ve var olan sorunları anlamak gereklidir.

TCP/IP Protokolü Nedir?

TCP/IP, her geçen gün degisen, gelisen ve içinde birçok aglararası iletisim

(internetworking) protokolleri barındıran bir protokol yıgıtıdır. Amerikan Savunma

Bakanlıgı tarafından nükleer savas durumunda bile çalısabilecek bir sistem olarak

tasarlanmıstır. Daha çok akademik ortamlarda gelistirilen bu protokol, firmalardan

bagımsız oldugu için dünya çapında farklı sistemler arasında iletisim için (yani

Internet’te) en yaygın kullanılan protokoldür. TCP/IP, Internet’i yaratan protokoldür

dersek yanlıs olmaz. TCP/IP Protokol yıgıtı, OSI modelin 7 katmanına karsılık gelen

4 katmandan olusmaktadır:

• Uygulama: OSI’nin son üç katmanlarına (5-6-7) karsılık gelir

• Transport: Güvenilirlik, akıs (flow) kontrolü ve hata düzeltme gibi servis

kalitesini belirleyen parametrelerle ugrasır. Baglantılı (TCP) ve baglantısız (UDP)

servisleri içerir.

• Internet: Amaç izlenen yollardan ve aglardan bagımsız olarak hedef cihaza veri

iletiminin saglanmasıdır. Yol (path) belirleme ve veriyi o yola yönlendirmek

(routing) için paket anahtarlama bu seviyede yapılır. IP protokolü kullanılır.

• Network Access: OSI’nin ilk iki katmanına (1-2) karsılık gelir.





TCP/IP’de yaygın olarak kullanılan

protokoller yandaki protokol grafiginde

verilmistir. Uygulama seviyesinde bir ag

ortamında sıkça rastlayacagımız protokoller

asagıda belirtilmistir:

• FTP - File Transfer Protocol

• HTTP - Hypertext Transfer Protocol

• SMTP - Simple Mail Transfer Protocol

• DNS - Domain Name System

• TFTP - Trivial File Transfer Protocol

TCP/IP modelinin Internet’i yaratan bir standart olması ve birçok protokolü

bünyesinde bulundurması onu daha popüler yapmaktadır. OSI modelin özellikle ag

temellerinin egitiminde bir rehber oldugu unutulmamalıdır.

IP Protokolü ve IP Adresleme

Internet Protokolü (IP) bir agda uçtan uca (end-to-end) veri yönlendirmesi için

kullanılır. IP tanımlamaları 1982 yılında RFC 791’de yapılmıstır. Bu tanımlamalar IP

adreslerinin yapısını da içerir. Su an dünyada yaygın olarak IPv4 (IP version - sürüm

4) kullanılmaktadır. Bu yapı Internet üzerindeki herhangi bir cihaza (makina veya

yönlendirici arayüzüne) 32 bit mantıksal adres saglar.

Avrupa Bölgesi (region) için IP adreslerinin düzenlemeleri RIPE NNC

(http://www.ripe.net) tarafından saglanmaktadır. Azalan IP adresi aralıgı yüzünden

özel IP’lerin kullanımı artmakta ve IPv6’ya geçis planları yapılmaktadır.

Özel adresler, Internet’e baglanmayan, NAT (Network Address Translation) veya

proxy sunucusu aracılıgı ile Internet’e baglanan cihazlarda kullanım için ayrılmıstır.

Bu adresler (10.0.0.0/8, 172.16.0.0/16, 192.168.0.0 /16)dır.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=311470

IPsec

IPsec protokolü, hem IPv4 için hem de IPv6 için dogrulama (authentication),

bütünlük (integrity) ve gizlilik (confidentiality) servisleri saglamak için

tasarımlanmıstır. Transport seviyesinde çalıstıgı için uygulamalarda ek bir ayarlama

yapmaya gerek yoktur (transparent). IPv4 aglarına IPSEC eklemek için bu görevi

üstlenecek bir ag cihazı (router, VPN concentrator ... vb) veya ag güvenlik duvarı

kullanmak gerekmektedir. Kullanıcı da VPN client yazılımını makinasına kurmalıdır.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=311470

IPSEC’de güvenlik 2 mekanizma ile saglanmaktadır:

• Authentication Header (AH): Veri dogrulama,veri bütünlügü saglamak için

• Encapsulated Security Payload (ESP): Veri gizliligi saglamak, sifreleme için

Bu iki mekanizma tek baslarına kullanılabilecekleri gibi birlikte de kullanılabilir.

Var olan TCP/IP Zayıflıkları ve Çözümleri

Su an kullanılan IPv4 protokolü tasarlanırken güvenlik dikkate alınmamıstır. Bunun

sonucunda yasanan zayıflıklar ve çözümler olarak asagıdakileri belirtmek

mümkündür:

Hedefe ulasan veri, IP paketlerinden olusmaktadır. Bu paketlerde:

• Gizlilik (Confidentiality): Paketin seyrettigi yol boyunca içerigi okunmus olabilir.

Önlem: _çerigin sifrelenmesi. – Uygulama: IPsec

• Paket Dogrulama (Authentication): Paketin kaynak adresi degistirilmis olabilir.

(Örn:spoof saldırıları) Önlem: Daha kuvvetli dogrulama yöntemlerinin

kullanılması. – Uygulama: IPsec- AH

• _çerik bütünlügü (integrity): Paketin içerigi degistirilmis olabilir. Önlem: Daha

gelismis data bütünlügü kontrollerinin yapılması. – Uygulama: IPsec - AH

IP protokolünün zayıflıkları kullanılarak servislere yönelik saldırılar yapılabilir:

• Flood Saldırıları: Protokolde trafik önceliginin (priority) olmaması yüzünden aga

yönelik sel (flood) saldırıları. Önlem: Servis kalitesi(QOS), aktif cihazlarda ve

güvenlik duvarlarında önlemler almak.

• DOS-DDOS Saldırıları: Sistemleri ve servisleri devre dısı bırakmak için yapılan

saldırılar. Önlem: Güvenlik duvarı kullanmak, sistemlerde gerekli güncellemeleri

düzenli olarak yapmak ve ilave güvenlik önlemleri almak, protokollerin yeni ve

daha güvenli versiyonlarını kullanmaya baslamak.

IPv6

IPv6’nın tanımlamaları da tamamlanmak üzeredir. IPv6, daha büyük bir adres uzayı

(128 bit adres), yönlendirme esnekligi, entegre servis kalitesi (QOS), otomatik

konfigürasyon, mobil computing, “data multicasting” ve gelismis güvenlik

özelliklerine sahiptir.

IPv6 ‘da IPSEC destegi bütünlesik olarak gelmektedir. Bu tür bir entegrasyon bu

servislerin daha sorunsuz ve etkin çalısmasını saglayacaktır. Örnegin ag seviyesinde

dogrulama ile paketin belirtilen kaynak adresinden gelip gelmedigi tespit

edilebilmektedir.