1
Genel İzlenimler Provus, 2001 yılında bankalara kart, işyeri ve ATM operasyonları operasyonları konularında, ayrıca bankalar yanında farklı sektörlerden fimalara baskı/zarflama ve kart kişiselleştirme hizmetleri konularında dış kaynak kullanım hizmeti verme amacıyla kuruldu. Provus, 1976 yılında kurulmuş ve Türkiye’ye ödeme sistemlerini getirerek bu sektörün gelişmesinde birçok ilke imza atmış olan AKK’yı 2005 yılında satın alarak her iki şirketin altyapı hizmet ve deneyimlerinin birleşiminden oluşan sinerjiyle hızla büyüyüp sektöründe Türkiye’nin öncü ve lider kuruluşu oldu. Hızlı büyümesi ve büyümeye açık bir sektörde yeralması nedeniyle birçok yatırımcının ilgi odağı olan Provus 2007 yılında Türkiye’nin en başarılı özel girişim sermayesi sermayesi kuruluşlarından kuruluşlarından olan Türkven Türkven tarafından tarafından %70 oranında satın satın alınarak büyüme ve gelişmesine önemli bir ivme kazandırdı. Günümüzde 6 ülkede faaliyet gösteren Provus, yurtdışında da büyümeyi hedefledi ve bu amaçla ilk operasyon merkezini Romanya’da kurdu ve kısa zamanda bu ülkede de birçok bankaya hizmet verir duruma geldi. PROVUS bugün, 240 kişilik konusunda uzman ve deneyimli kadrosu, güvenliği uluslararası kuruluşlarca onaylanmış onaylanmış altyapısı (PCI, Vendor Sertifikasyonu) ile yurtiçi ve yurtdışından 59 müşteriye hizmet vermekte ve 5.000.000 kart, 100.000 POS ve 5.500 ATM PROVUS altyapısından hizmet almaktadır.
Faaliyet Alanlarımız ve Altyapımız; •
Kredi Kartı Operasyonu
•
POS ve İşyeri Operasyonu
•
ATM Operasyonu
•
Müşteri Bağlılık Uygulamaları
•
Doküman Baskı ve Zarflama
•
Kart Kişiselleştirme
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
2
PROVUS faaliyet alanlarına giren konularda hizmet vermek için gerekli yetki ve onaylara sahiptir ve güvenlik PROVUS için en önemli ve öncelikli konudur. PROVUS tarafından güvenli hizmet vermek için gerekli sertifikasyonlar tamamlanmış olup, ek güvenlik önlemleri ile de güvenlik katmanları arttırılmıştır.
Güvenlik •
VISA Fiziksel Güvenlik Onayı
•
VISA Mantıksal Güvenlik Onayı
•
MasterCard Fiziksel Güvenlik Onayı
•
MasterCard Mantıksal Güvenlik Onayı
•
PCI (Payment Card Industry Data Security Standardı)
•
Yıllık ortalama 10 denetleme (Müşteri, Visa, MasterCard)
•
Periyodik personel risk araştırması ve güvenlik sözleşmesi
Onay ve Yetkiler •
MasterCard Member Service Provider (MSP) Yetkisi
•
VISA net Processor Yetkisi
•
BKM Servis Sağlayan Kurum
•
MasterCard ve Visa Vendor Sertifikasyonu
•
EMV onaylı ATM, POS ve Kart Yönetim Altyapısı
•
PCI (Payment Card Industry Data Security Standardı)
•
JCB Card Acquirer Yetkisi
•
3D Secure Sanal POS Acquiring
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
3
Yapılan İş ve Özeti: Stajımın bir bölümünde genel ağ yapıları, ağ teknolojileri , internet protokolleri, LAN bağlantıları ve Cisco firmasının router ve switchleri ile ilgili teorik ve pratik çalışmalar yaptım.
Network ( Ağ ) Network (Ağ), ses, video ve bilgisayar verilerinin iletişim için kablolu veya kablosuz hatlar aracılığıyla aktarımını sağlayan sistemdir. Ağlar çok çeşitli boyutlarda olabilir. İki bilgisayardan oluşan basit ağlardan milyonlarca aygıtı bağlayan ağlara kadar pek çok boyutta ağ olabilir. İnternette bu bağlamda birbirine bağlı binlerce ağdan oluştuğu için “ağların ağı” olarak ifade edilebilir. Ağı oluşturan bir çok bileşen vardır. 4 ana kategoride bunlar:
•
İstemciler : Doğrudan ağ üzerinden ileti gönderip alan cihazlardır. (Defter içinde konak bilgisayar olarakta geçer)
•
Paylaşılan çevresel aygıtlar : Istemcilere bağlı paylaşılan cihazlar (yazıcı,webcam, tarayıcı)
•
Ağ iletişim cihazları: İstemcileri birbirine bağlar ve trafiği yönetir. (Switch,router, vb.)
•
Ağ iletişim ortamı: Bağlantı burdan sağlanır kablolu veya kablosuz ortamlar vardır.
Kısaca Network Terimleri Switch: Bilgisayarların ve diğer ağ öğelerinin birbirlerine bağımsız veri alışverişi yapmasına olanak veren ağ donanımlarından biridir. OSI modelinin 2. Katmanında yer alır.
Router: İki ağın birbirine bağlanmasını sağlayan ağ donanımıdır. Hub: İçerisinde tüm portları birbirine bağlayan kablolardan oluşmuş bir cihazdır ve kablolardan taşınan bilgiyi anlama kapasitesine sahip değildir. Yalnızca bir porttan gelen paketleri diğer bütün portlara yayın (boardcast) şeklinde iletir.
Sunucu:
Nilgisayar ağlarında, diğer ağ bileşenlerinin (kullanıcıların) erişebileceği,
kullanımına ve/veya paylaşımına açı k kaynaklar ı barındıran bilgisayar birimi.İstemci karşıtı.
Çerçeve (frame): Bir ses ya da görüntü d a ta sındeki en küçük anlamlı parcaya verilen isim. (Burda bahsedilen ethernet katındaki)
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
4
Broadcast :
İstemcilerin birbirileri arasında gönderdikleri iletilere yayın denir. MAC
adresleri üzerinden gerçekleşir. Tek seferde bir tane hedef MAC adresi kullanılır. Eğer MAC adres, FFFF.FFFF.FFFF şeklinde ise yayın bütün kullanıcılara ulaşır ve buna çoklu yayın denir.
Ağ Topolojileri Birkaç bilgisayardan oluşan basit bir ağda, çeşitli bileşenlerin tamamının bağlanma şeklini görselleştirmek kolaydır. Ağ büyüdükçe, her bileşenin konumunu ve ağa bağlanma şeklini takip etmek daha da zorlaşır . Bunun için fiziksel ve mantıksal ağ haritaları çıkarılır.Fiziksel harita istemciun bulunduğu yeri ve ağa bağlanma şeklini, kabloların döşendiği yerleri ve ağ araçlarını gösterir. Mantıksal harita ise istemciları fiziksel konumlarını dikkate almadan adlarını,IP adreslerini, kullandıkları ağları göz önüne alarak oluştrulur. Fiziksel topolojide ağ bileşenlerinin birbirine bağlanma şekline göre 6 türdür. Bunlar: Bus, Ring, Yıldız (star), Gelişmiş Yıldız( extended star), Mesh (ağ) ve Ağaç (Hierarchical Tree) topolojisidir. Özellikle Provus gibi yüzlerce bilgisayarın bulunduğu şirketlerde topoloji haritaları daha büyük önem kazanmaktadır. Fiziksel olarak Provus’ta Gelişmiş Yıldız (Extended Star) ve Ağaç (Hierarchical Tree) benzeri bir topoloji kullanılmaktadır. Sistemin merkezinde (veya başında) ana switch bulunmaktadır . Ana switch diğer daha küçük ağları yöneten başka switchlere bağlıdır.
Tüm ağların amacı bilgiyi iletmek ve yöntem sağlamaktır. Bu yöntemin içinde 3 önemli öğesi vardır : Kaynak , kanal ve hedef. Bunlar modern ağ sistemlerinde ağ trafiği yönetiminde kullanılan
Staj Yapanın İmzası
protokollerinde temel bileşenleridir. Protokoller bilgisayarların
Staj Yetkilisinin İmzası
5
haberleşmesi için bir dizi kural getirir ve iletinin iletilme ve teslim edilme şeklinin ayrıntılarını tanımlar: İleti biçimi, İleti boyutu, Zamanlama, Kapsülleme, Kodlama, Standart ileti düzeni
İlk zamanlarda satıcı kurumlar ağ cihazları için kendi protokollerini kullandı ancak bu ağlar yaygınlaşmaya başlayınca iletişim sağlanamadı ve farklı satıcıların ağ ekipmanlarının çalıştırılacağı kuralları tanımlayan standartlar geliştirildi. Standartlar ağ iletişimine birçok şekilde yarar sağlar: Tasarımı kolaylaştırır, ürün gelişimini basitleştirir, rekabeti artırır, tutarlı arabağlantılar sağlar, eğitimi kolaylaştırır, müşteriler için daha fazla satıcı seçeneği sunar. Son olarak ise XEROX firmasının 1973 te geliştirdiği Ethernet teknolojisi standart olarak kabul edilir ve geliştirilir. Yerel ağların en yaygın protokol Ethernettir. Ethernet protokolü, yerel ağ üzerinde iletişimin birçok yönünü tanımlar, bunlardan bazıları şunlardır: ileti biçimi, ileti boyutu, zamanlama, kodlama ve ileti düzenleri. Ethernet ağlarında kaynak ve hedef bilgisayarları tanımlamak için her bilgisayarın ethernet arayüzüne üretim aşamasında fiziksel bir adres atanır : MAC adresi. MAC adres her bilgisayar için eşsiz bir koda sahiptir. Ethernette kanal olarak ise kablo kullanılır. Bu kablo çeşidi bakır ve fiber optik bir kablo olabilir. Ethernet ağında bir istemci iletişime geçtiğinde, hedefin ve kendisinin MAC adresini içeren bir çerçeve (frame) gönderir. Hedef çerçevenin kodunu çözer ve hedef MAC adresini okur. Hedef MAC adresi, NIC'de (Ağ Arayüz Kartı) yapılandırılmış adresle aynıysa, NIC iletiyi işler ve gerekli uygulamanın kullanması için saklar, aynı değilse yok sayar. Bilgisayarın MAC adresine Windows ortamında komut satırına ipconfig/all işletilerek ulaşılabilir. Ancak Ethernetin MAC adresleriyle iletişimi global olarak düşünüldüğünde yüz milyonlarca istemcinin bulunduğu bir ağ için yetersiz hatta imkansız kalmaktadır. Bunun için
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
6
büyük ağları, küçük ve daha yönetilebilir bölümlere ayırmak daha iyidir. Büyük ağları ayırmanın bir yolu, hiyerarşik tasarım modelini kullanmaktır. Hiyerarşik ve katmanlı tasarım, verimliliğin artmasını, işlevin en iyi duruma getirilmesini ve hızın yükselmesini sağlar. Var olan ağların başarımı etkilenmeden ek yerel ağlar eklenebildiği için, bu tasarım ağın gerektiği şekilde ölçeklendirilmesini de sağlar. Hiyerarşik tasarımda üç temel katman bulunur: •
Erişim Katmanı : Yerel bir Ethernet ağında istemcilara bağlantı sağlar. Bu katmanda istemci, hub, switch gibi ağ cihazları kullanılır. Kullanıcılar paylaşılan dosyalara, yazıcılara bu katmandan erişebilir.
•
Dağıtım Katmanı : Daha küçük yerel ağların birbirine bağlanmasını sağlar. Bu katmanda daha güçlü switchler ve routerlar kullanılır
•
Çekirdek Katmanı : Dağıtım katmanı cihazları arasında yüksek hızlı bağlantı sağlar. Bu katmanda çok güçlü ve çok hızlı switch ve routerlar kullanılır.
Hiyerarşik tasarımda istemciun konumunu belirlemek için IP adreslemesi kullanılır.
IP Adresi Bu adres, istemciun bulunduğu yer temel alınarak mantıksal olarak atandığından, mantıksal adres olarakta bilinir. IP adresi veya ağ adresi, yerel ağ temel alınarak her bir konak bilgisayara ağ yöneticisi tarafından atanır. İnternet'teki diğer cihazlarla iletişim kurmak için bu adresin düzgün biçimde yapılandırılmış ve benzersiz olması gerekir. IP adresi, bir konak bilgisayarın Ağ arayüzü bağlantısına atanır. Bu bağlantı genellikle cihaza takılı bir ağ arayüz kartıdır (NIC). Ağ arayüzlerine sahip son kullanıcı cihazlarına ilişkin örnekler arasında iş istasyonları, sunucular, ağ yazıcıları ve IP telefonları yer alır. Bazı sunucularda birden çok NIC bulunabilir ve her NIC kendi IP adresine sahiptir. IP ağına bağlantı sağlayan yönlendirici arayüzlerinin de bir IP adresi vardır. İnternet üzerinden gönderilen her paket, bir kaynak ve bir hedef IP adresine sahiptir. Ağ iletişim cihazları, bilginin hedefe ulaşmasını ve yanıtların kaynağa geri dönmesini sağlamak için bu bilgilere gereksinim duyar. IP adresleri iki bölümden oluşur. Bu bölümlerden biri yerel ağı tanımlar. IP adresinin ağ bölümü, aynı yerel ağa bağlı tüm konak bilgisayarlarda aynıdır. IP adresinin ikinci bölümü tek bir konak bilgisayarı tanımlar. Aynı yerel ağ içinde, IP adresinin konak bilgisayar bölümü her bir konak bilgisayar için benzersizdir.
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
7
IP Adresinin Yapısı IP adresi 2 tabanında 32 bitlik bir seridir. Genelde 10 tabanında 4 adet 8 bitlik bytelar halinde gösterilir. Mesela; 11000000101010000000000100000101 = 192.168.1.5 ‘e tekabül eder. 32 bitlik bu bu IP adresi Ipv4 diye tanımlanır. 4 milyardan fazla IP adresi alınabilir. Yaygın olan budur ancak artık yetersiz gelmeye başlamıştır. Bunun için Ipv6 kullanmaya başlanmıştır.
IP Adresinin Bölümleri Mantıksal 32 bit IP adresi hiyerarşik olup iki bölümden oluşur. İlk bölüm ağı, ikinci bölüm ise ağdaki bilgisayarı tanımlar. IP adresinde her iki bölümün de bulunması gerekir. Örneğin, bir konak bilgisayarın IP adresi 192.168.18.57 olduğunda, ilk üç sekizli (192.168.18) adresin ağ bölümünü ve son sekizli (57) konak bilgisayarı tanımlar. Ağ bölümü her bir benzersiz konak bilgisayar adresinin bulunduğu ağı gösterdiğinden, bu hiyerarşik adresleme olarak bilinir. Yönlendiricilerin her bir konak bilgisayarın konumunu bilmek yerine, yalnızca her bir ağa nasıl ulaşılacağını bilmeleri gerekir. Bilgisayarların IP adresindeki hangi bölümün ağ, hangi bölümün konak bilgiayar olduğunu anlaması için alt ağ maskesi (subnet mask) kullanılır. Alt ağ maskesinin her bir bit'i soldan sağa IP adresinin bit'leriyle karşılaştırılır. Alt ağ maskesindeki 1'ler ağ bölümünü, 0'lar konak bilgisayar bölümünü temsil eder. Yukarıdaki örnek için alt ağ maskesi 255.255.255.0 dır. Provus’ta ise benim oturduğum bilgisayar için alt ağ maskesi 255.255.254.0 dır. Yani burdaki 254 ten anlayabiliriz ki 8 bitin ilk 7 si bir son bit ise 0 dır. Yine basit bir hesapla bağlı olduğum switch en fazla 2*255-2 = 508 tane istemciye bağlanabilir. Çıkarılan 2 nin sebebi switchin kendi IP adresi ve toplu yayın adresidir( bütün değerlerin 1 olması).
IP Adresi ve Varsayılan Alt Ağ Maskeleri IP adresleri 5 sınıfa ayrılır: A, B, C, D, E. A, B, C ticaridir. D sınıfı çoklu yayın ve E sınıfı ise deneysel amaçlı kullanılır. C sınıfı küçük ağlar için kullanılır.Ağ kısmı üç sekizli,istemci kısmı bir sekizli bulunur. 1.sekizlinin aralığı 192 ile 223 arasındadır. Varsayılan alt ağ maskesi 255.255.255.0 dır. B sınıfı orta büyüklükteki ağlar için kullanılır.Ağ bölümü iki ve istemci bölümü 2 sekizliden oluşur. 1.sekizlinin aralığı 128 ile 191 arasındadır. Varsayılan alt ağ maskesi 255.255.0.0 dır. A sınıfı büyük ağlar için kullanılır.Ağ bölümü bir ve istemci bölümü üç sekizliden oluşur. 1.sekizlinin aralığı 1 ile 127 arasındadır. Varsayılan alt ağ maskesi 255.0.0.0 dır. Staj Yapanın İmzası
Staj Yetkilisinin İmzası
8
Provus B sınıfı IP ye sahiptir. Varsayılan alt ağ maskesi 255.255.0.0 dır. DHCP (Dynamic Host Configuration Protocol ) IP adresleri statik veya dinamik olarak atanabilir. Statik atamada, ağ yöneticisinin konak bilgisayara ilişkin ağ bilgilerini manuel olarak yapılandırması gerekir. Bu yapılandırma minimum ölçüde konak bilgisayar IP adresini, alt ağ maskesini ve varsayılan ağ geçidini içerir. Dinamik atama: Yerel ağlarda, kullanıcı sayısının sık sık değiştiği görülür. Dizüstü bilgisayarları olan yeni kullanıcılar gelir ve bağlantıya ihtiyaç duyarlar. Diğerlerinin ise bağlanması gereken yeni iş istasyonları vardır. Ağ yöneticisinin her iş istasyonuna IP adresi ataması yerine IP adreslerinin otomatik olarak atanması daha kolaydır. Bu, Dinamik Konak Bilgisayar Yapılandırma Protokolü (DHCP) olarak bilinen bir protokol kullanılarak yapılır. DHCP, IP adresi, alt ağ maskesi, varsayılan ağ geçidi ve diğer yapılandırma bilgileri gibi adresleme bilgilerini otomatik atama mekanizması sağlar. Ağ destek personelinin iş yükünü hafifletip giriş hatalarını ortadan kaldırdığı için, büyük ağlarda konak bilgisayarlara IP adresi atama konusunda tercih edilen yöntem genellikle DHCP'dir.
DNS (Domain Name System ) İnternet'teki hizmet barındıran tüm sunucuların IP adreslerinin tamamını hatırlamak mümkün değildir. Bunun yerine, bir adı IP adresiyle ilişkilendirerek sunucuları bulmak daha kolaydır. Etki Alanı Adlandırma Sistemi (DNS), konak bilgisayarların belirli bir sunucunun IP adresini istemek için bu adı kullanmasını sağlar. DNS adları, İnternet'te belirli üst seviyeli grup veya etki alanları içinde kayıtlı ve düzenlenmiş durumdadır. İnternet'teki en yaygın üst seviyeli etki alanlarından bazıları .com, .edu ve .net'tir.
Ağ Adresi Çevirisi (NAT) Provus’ın ana yönlendiricisi ISP'den(Vodafone.Net) genel bir adres alır ve bu adres yönlendiricinin İnternet'te paket gönderip almasını sağlar. Bunun sonucunda da yerel ağ istemcilerine özel adresler sağlar. İnternet'te özel adreslere izin verilmez, yerel istemcilerin İnternet'te iletişim kurmasını sağlamak için, özel adreslerin benzersiz genel adreslere çevrilmesi gerekir. Özel adresleri İnternet'te yönlendirilebilir adreslere dönüştürme işlemine Ağ Adresi Çevirisi (NAT) adı verilir. NAT işlemiyle, özel (yerel) bir kaynak IP adresi, genel (global) bir Staj Yapanın İmzası
Staj Yetkilisinin İmzası
9
adrese çevrilir. Gelen paketler için de işlemin tersi gerçekleşir. Yönlendirici, NAT işlemiyle birçok dahili IP adresini aynı genel adrese çevirebilir. Yalnızca başka ağları hedefleyen paketlerin çevrilmesi gerekir. Bu paketler, yönlendiricinin, kaynak bilgisayarın özel IP adresini kendi genel IP adresiyle değiştirdiği ağ geçidi üzerinden geçmelidir. Dahili ağdaki her konak bilgisayarda atanmış benzersiz bir özel IP adresi olsa da, konak bilgisayarların yönlendiriciye atanmış, İnternet'te yönlendirilebilir tek bir adresi paylaşması gerekir. Özel adresler yalnızca yerel ağda göründüğünden ve ağ dışındaki kişiler bu adreslere doğrudan erişim kazanamadığından, özel adres kullanımı bir güvenlik önlemi sağlar.
Erişim Katmanı Hub (Dağıtıcı): İçerisinde tüm portları birbirine bağlayan kablolardan oluşmuş bir cihazdır ve kablolardan taşınan bilgiyi anlama kapasitesine sahip değildir. Yanlızca bir porttan gelen paketleri diğer bütün portlara yayın (boardcast) şeklinde iletir. Bu yüzden fiziksel katmana dahildir. Dağıtımlarda eşit paylaşım yapılır. Aynı anda iki ileti aldığında bozuk mesaj yollar (çatışma). Aldığı mesajları yayın şeklinde (yani tüm kullanıcılara yollar) ilettiği için bant genişliğini gereksiz yere çok tüketir ve bu nedenle tercih edilmez.
Switch (Anahtar): Hub gibi switchde birden çok konak bilgisayarı ağa bağlar. Ancak hubdan farklı olarak çerçevelerin kodlarını çözer ve iletinin hedef MAC adresini okuyabilir. Switchdeki bir tabloda (MAC adresi tablosu denir), tüm etkin bağlantı noktalarının bir listesi ve bunlara bağlı istemci MAC adresleri bulunur. istemcilar arasında bir ileti gönderildiğinde, anahtar, hedef MAC adresinin tabloda olup olmadığını kontrol eder. MAC adresi tablodaysa,
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
10
anahtar, kaynak ve hedef bağlantı noktaları arasında devre adı verilen geçici bir bağlantı oluşturur. Bu yeni devre, iki istemciun üzerinde iletişim kurabileceği adanmış bir kanal sağlar. Anahtara bağlı diğer istemci bu kanaldaki bant genişliğini paylaşmaz ve kendi adreslerine yönelik olmayan iletileri almaz. Konak bilgisayarlar arasındaki her yeni iletişim için yeni bir devre oluşturulur. Bu ayrı devreler, çatışma oluşmadan aynı anda birçok iletişimin gerçekleşmesine izin verir. MAC tablosu kaynak adreslerinden gelen iletilere göre sürekli güncellenir. Gönderen kaynak istemcita ,hedef istemciun MAC adreside iletiye eklemesi gerekir. Ancak sadece IP adresi bulunuyorsa hedef istemciun MAC adresi için ARP(Adres Çözümleme Protokolu ) denilen IP protokolu kullanılır. ARP’de bilinmeyen MAC adresi için üç adımlık şu yol izlenir: 1.Gönderen bilgisayar, yayın MAC adresine yönelik bir çerçeve oluşturup gönderir. Çerçevenin içinde, amaçlanan hedef bilgisayarın IP adresinin bulunduğu bir ileti yer alır. 2. Ağdaki her bilgisayar yayın çerçevesini alır ve iletinin içindeki IP adresini kendi yapılandırılmış IP adresiyle karşılaştırır. Aynı IP adresine sahip olan bilgisayar, MAC adresini başlangıçtaki gönderen bilgisayara geri gönderir. 3. Gönderen bilgisayar iletiyi alır ve MAC adresi ile IP adresi bilgilerini ARP tablosu adı verilen bir tabloda saklar.
Provus’ta Cisco firmasının Catalyst 4500 ve Catalyst 6500 modelleri kullanılmaktadır.
Dağıtım Katmanı Ağlar büyüdükçe genellikle bir yerel ağın fiziksel konum, güvenlik ve uygulama gereksinimleri gibi ölçütlere göre birden çok Erişim Katmanı ağına bölünmesi gerekir. Dağıtım Katmanı, bu bağımsız yerel ağları bağlar ve aralarındaki trafiği denetler. Bu katman, yerel ağda konak bilgisayarlar arasındaki trafiğin yerel kalmasını sağlamaktan
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
11
sorumludur. Yalnızca diğer ağları hedefleyen trafik iletilir. Dağıtım Katmanı, güvenlik ve trafik yönetimi için gelen ve giden trafiği de filtreleyebilir. Dağıtım Katmanını oluşturan ağ iletişim cihazları, tek tek bilgisayarları değil, ağları birbirine bağlamak üzere tasarlanmıştır. Ayrı ayrı bilgisayarlar dağıtıcı ve anahtar gibi Erişim Katmanı cihazları üzerinden ağa bağlanır. Erişim Katmanı cihazları da, yönlendirici(router) gibi Dağıtım Katmanı cihazı
üzerinden birbirine bağlanır. Provus’ta da müşteri
temsilcileri bilgisayarları bir switche , o switchte bir üst departmana bağlıdır. Bu şekilde hiyerarşik bir düzende dağılmıştır.
Router (Yönlendirici) Yönlendirici, yerel ağı başka yerel ağlara bağlayan bir ağ iletişim cihazıdır. Ağın Dağıtım Katmanında yönlendiriciler trafiği yönlendirir ve ağ işleminin verimliliği açısından kritik olan diğer işlevleri gerçekleştirir. Anahtarlar gibi yönlendiriciler de kendilerine gönderilen iletilerin kodunu çözüp iletileri okuyabilir. Ancak yalnızca MAC adresi bilgilerini içeren çerçevelerin kodunu çözen (kapsül açma işlemini gerçekleştiren) anahtarlardan farklı olarak, yönlendiriciler çerçeve içinde kapsüllenmiş paketin kodunu çözer. Paket biçiminde, hedef ve kaynak konak bilgisayarların IP adresleri ve bu konak bilgisayarların arasında gönderilen iletilerin verileri bulunur. Yönlendirici, hedef IP adresinin ağ bölümünü okur ve bağlı ağlardan hangisinin iletiyi hedefe yönlendirmek için en iyi yol olduğunu bulmak üzere bu bölümü kullanır. Kaynak ve hedef konak bilgisayarların IP adreslerinin ağ bölümü birbiriyle aynı olmadığında, iletiyi iletmek için yönlendiricinin kullanılması gerekir. 1.1.1.0 ağında bulunan bir konak bilgisayarın 5.5.5.0 ağındaki bir konak bilgisayara ileti göndermesi gerekirse, konak bilgisayar iletiyi yönlendiriciye iletir. Yönlendirici iletiyi alır ve hedef IP adresini okumak için iletiyi kapsül açma işlemini gerçekleştirir. Ardından iletiyi nereye ileteceğini belirler. Paketi yeniden bir çerçeveye kapsüller ve çerçeveyi hedefine iletir. Yönlendirici üzerindeki her bağlantı noktası veya arayüz farklı bir yerel ağa bağlanır. Her yönlendiricide yerel olarak bağlı tüm ağların ve bu ağları bağlayan arayüzlerin bir tablosu bulunur. Bu yönlendirme tablolarında, yönlendiricinin yerel olarak bağlı olmayan diğer uzak ağlara ulaşmak için kullandığı rotalar veya yollar hakkında bilgiler de yer alabilir. Yönlendirici bir çerçeve aldığında, hedef IP adresini içeren pakete ulaşmak için çerçevenin kodunu çözer. Hedefin adresini, yönlendirme tablosunda bulunan ağların tümüne eşleştirir. Hedef ağ adresi tabloda bulunuyorsa, yönlendirici paketi göndermek için yeni bir
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
12
çerçeveye kapsüller. Hedef ağa giden yolla ilişkilendirilmiş arayüzden yeni çerçeveyi iletir. Paketleri hedef ağına iletme işlemine yönlendirme denir. Hedef bilgisayar, yönlendiriciye yerel olarak ise, bu hedef MAC adresi, gerçek bilgisayarın MAC adresidir. Yönlendiricinin paketi başka bir yönlendiriciye iletmesi gerekirse, bu durumda yönlendirici bağlı yönlendiricinin MAC adresini kullanır. Yönlendiriciler bu MAC adreslerini ARP tablolarından alır. Yönlendirici arayüzleri, yayın MAC adresine yönelik iletileri iletmez. Bunun sonucu olarak da, yerel ağ yayınları diğer yerel ağlara yönlendiriciler üzerinden gönderilmez.
Provus ’ta router yerine router özelliğide olan switchler kullanılıyor.
Varsayılan Ağ Geçidi ( Default Gateway) Gönderen bilgisayar iletiyi farklı bir ağdaki bilgisayara yollayacaksa router kullanması gerekir. Bunun için pakete hedef bilgisayarın MAC adresini eklerken, çerçeveyi kapsüllerken routerın MAC adresini ekler. Routerın IP adresi TCP/IP protokolünde kullanılan varsayılan ağ geçidi adresidir. Gönderen bilgisayar ARP ile de routerın MAC adresini öğrenebilir.
Yerel Ağ (LAN) Yerel ağ, bir yerel ağı ya da tek ve aynı yönetimsel denetim altında birbirine bağlı yerek ağları ifade eder. Ethernet veya kablosuz protokolleri kullanılabilir.
İnternet İnternet, yaygın standartları kullanarak bilgi alışverişi yapmak üzere işbirliği halinde olan, dünya çapında bir bilgisayar ağları topluluğudur. İnternet kullanıcıları, telefon kabloları, fiber optik kablolar, kablosuz iletimler ve uydu bağları aracılığıyla çeşitli biçimlerde bilgi alışverişi yapabilir. İnternet, dünyanın her ülkesinden kullanıcıları birbirine bağlayan ağlardan oluşan ağdır.
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
13
ISP (Internet Servis Sağlayıcıları) İnternet'e bağlantı ve erişim desteği sağlayan bir şirkettir. internet erişimine sahip olmak için mutlaka ISP gereklidir. Konak bilgisayar olmadan kimse İnternet'e erişemediği gibi ISP olmadan da kimse İnternet'e erişemez. Callus için ISP desteği Vodafone.Net tarafından sağlanmaktadır.
POP (Point of Presence) Bilgisayar ve yerel ağların her biri, bir Bulunma Noktasına (POP) bağlanır. POP, ISP'nin ağı ile POP'un hizmet verdiği belirli coğrafi bölge arasındaki bağlantı noktasıdır. ISP içinde yüksek hızlı yönlendirici ve anahtarların oluşturduğu ağ, çeşitli POP'lar arasında veri taşır. Bir bağ arızalandığında veya aşırı trafikle yüklenip tıkandığında, veriye alternatif rotalar sağlamak için birden çok bağ POP'ları birbirine bağlar. ISP'ler kendi ağlarının sınırları ötesine bilgi göndermek için başka ISP'lere bağlanır. İnternet, ISP POP'larını ve ISP'leri birbirine bağlayan çok yüksek hızlı veri bağlarından oluşmuştur. Bu arabağlantılar, İnternet Omurgası olarak bilinen çok büyük ve yüksek kapasiteli ağın parçasıdır.
Bağlantı Çeşitleri Çevirmeli Bağlantı kurmak için ISP nin çevirmeli olarak aramak üzere bir modem ve kamu erişimine normal telefon hattını kullanan biçimdir.Günümüzde pek kullanılmaz.
DSL normal telefon hatları üzerinden kullanıcılara yüksek bant genişliği sağlayan bir teknolojidir. Download upload hızının farklı olduğu hatlara Asimetrik DSL (ADSL), download ve upload hızlarının aynı olduğu DSL hizmetine SDSL denir. Callus bir çağrı
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
14
merkezi olduğu için gelen ve giden bağlantılar eşit derecede önemlidir ve simetrik DSL bağlantı bulunmaktadır.
IP (İnternet Protokolü) Bilgisayarların İnternet'te iletişim kurması için İnternet Protokolü (IP) yazılımını çalıştırıyor olmaları gerekir. IP protokolü, topluca TCP/IP (İletim Denetim Protokolü/İnternet Protokolü) olarak ifade edilen protokol gruplarından biridir. İnternet Protokolü (IP), verileri taşımak için paketleri kullanır. İster İnternet'te video oyunu oynayın, ister bir arkadaşınızla sohbet edin, e-posta gönderin veya Web'de arama yapın, gönderdiğiniz ya da aldığınız bilgiler IP paketleri biçiminde taşınır. IP, kaynak ve hedef IP adreslerinin yapısını tanımlar. Paketlerin bir konak bilgisayar veya ağdan diğerine yönlendirilmesinde bu adreslerin nasıl kullanıldığını tanımlar. IP paketinin başında, kaynak ve hedef IP adreslerini içeren bir başlık bulunur. Bu başlık, paketin üzerinden geçtiği yönlendirici gibi ağ aygıtlarına paketi açıklayan denetim bilgilerini içerir ve paketin ağ üzerindeki davranışının denetlenmesine de yardımcı olur. IP paketi bazen datagram olarak da ifade edilir. İletiler İnternet'te gönderilmeden önce paketlere bölünür. Ethernet ağları için IP paket boyutu 64 ile 1500 bayt arasındadır ve bu paketler çoğunlukla kullanıcı verilerini içerir. 1 MB boyutundaki tek bir şarkının indirilmesi için 600'den fazla 1500 baytlık paket gerekir. Paketlerin her birinde bir kaynak ve bir hedef IP adresi bulunmalıdır. Bir paket İnternet üzerinden gönderildiğinde, ISP, paketin ISP ağında bulunan yerel bir hizmeti mi yoksa farklı bir ağda bulunan uzak bir hizmeti mi hedeflediğini belirler.
Ping Komutu Ping komutunu Windows komut satırında kullanırsak, kaynak ve hedef arasındaki uçtan uca bağlantıyı sınar. Sınama paketlerinin kaynaktan hedefe doğru gerçekleşirdiği döngünün süresini ölçer ve iletimin başarılı olup olmadığını belirler. Ancak paket hedefe ulaşmadığında veya yol üzerinde gecikme yaşandığında, sorunun nerede olduğunu belirlemenin bir yolu yoktur.
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
15
Tracert Kaynaktan hedefe giden rotayı izler. Paketlerin üzerinden geçtiği her yönlendiriciye sekme denir. Yoldaki üzerindeki her bir sekmeyi ve her sekmede geçen süreyi görüntüler. Paketin yol aldığı süre ve rota, bir sorun oluştuğunda paketin kaybolduğu veya gecikmeye uğradığı yerin belirlenmesine yardımcı olabilir.
TCP UDP Taşıma Protokolleri Ağ üzerinden kullanılabilen her hizmetin sunucu ve istemci yazılımında uygulanan kendi uygulama protokolleri vardır. Uygulama protokollerine ek olarak, kaynak ve hedef konak bilgisayarlar arasında iletileri adreslemek ve yönlendirmek için yaygın İnternet hizmetlerinin tümü İnternet Protokolü'nü (IP) kullanır. IP, paketlerin yapısı, adreslenmesi ve yönlendirilmesiyle ilgilidir. IP, paketlerin tesliminin veya taşınmasının nasıl gerçekleştiğini belirtmez. İletilerin konak bilgisayarlar arasında nasıl taşınacağını taşıma protokolleri belirtir. En yaygın iki taşıma protokolü, İletim Denetim Protokolü (TCP) ve Kullanıcı Datagram Protokolü'dür (UDP). IP protokolü, konak
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
16
bilgisayarların iletişim kurmasını ve veri aktarmasını sağlamak için bu taşıma protokollerini kullanır. TCP, iletiyi kesim olarak bilinen küçük parçalara ayırır. Kesimler sırayla numaralandırılır ve paketler halinde birleştirilmek üzere IP işlemine geçer. TCP, belirli bir uygulamadan belirli bir konak bilgisayara gönderilen kesimlerin sayısını takip eder. Gönderen belirli bir süre içinde alındı bildirimi almazsa, kesimlerin kaybolduğunu varsayarak kesimleri yeniden iletir. İletinin tamamı değil, yalnızca kaybolan kısmı yeniden gönderilir. Bu bağlamda TCP protokolü taahhütlü posta servisine benzetilebilir. Alıcı konak bilgisayarda TCP, ileti kesimlerinin yeniden birleştirilip uygulamaya gönderilmesinden sorumludur. Verinin teslim edilmesini sağlamak için TCP'nin kullandığı uygulamalara örnek olarak FTP (Dosya Aktarım Protokolü) ve HTTP verilebilir. FTP için port 21 , HTTP için ise port 80 kullanılır. Bazı durumlarda TCP alındı bildirimi protokolüne gerek duyulmaz ve bu protokol aslında bilgi aktarımını da yavaşlatır. Bu tür durumlarda UDP daha uygun bir taşıma protokolü olabilir. UDP, alındı bildirimi gerektirmeyen 'en iyi girişim' teslim sistemidir. Bu, posta sistemi aracılığıyla normal bir mektup göndermeye benzer. Mektubun teslim edileceği garanti edilmez, ancak bu ihtimal yüksektir. UDP, ses, video ve IP üzerinden ses(VoIP) akışı gibi uygulamalarda tercih edilir. Alındı bildirimleri teslim işlemini yavaşlatır ve yeniden iletim pek de istenen bir durum değildir.
OSI Modeli ISO Uluslararası Standartlar Örgütü tarafından geliştirilmiştir. TCP/IP modelinden farklı olarak, bu model belirli protokollerin etkileşimini belirtmez. Geliştiricilerin ağ iletişimine yönelik protokoller tasarlarken izleyeceği mimari olarak oluşturulmuştur. Ağlar arası iletişimle de ilişkilendirilmiş tüm işlevler veya görevler yer alır. Yalnızca dört katmanı olan TCP/IP modeliyle karşılaştırıldığında, OSI modeli, görevi daha belirli yedi grupta düzenler. Daha sonra yedi OSI katmanının her birine bir görev veya görevler grubu atanır.
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
17
OSI başvuru modeli, tüm ağ teknisyenleri ve mühendisleri için ortak bir dil sağlar. Gerçekleşen işlevleri ve OSI modelinin her katmanında çalışan ağ iletişimi cihazlarını anlamak önemlidir. OSI modelinin üst katmanları (5-7), belirli uygulama işlevleriyle ilgilidir ve genellikle yalnızca yazılımlarda uygulanır. Bu katmanlarda ortaya çıkarılan sorunlar genellikle istemci ve sunuculardaki uç sistem yazılım yapılandırma hatalarından kaynaklanır. OSI modelinin alt katmanları (1-4), veri taşıma sorunlarıyla ilgilidir. Ağ Katmanı (3. Katman) ve Taşıma Katmanı (4. Katman) genellikle yalnızca yazılımlarda uygulanır. Uç sistemlerdeki yazılım hatalarına ek olarak, yönlendirici ve güvenlik duvarlarındaki yazılım yapılandırma hataları da bu katmanlarda ortaya çıkan birçok sorunun nedenini oluşturur. IP adresleme ve yönlendirme hataları 3. Katman'da meydana gelir. Fiziksel Katman (1. Katman) ve Veri Bağı Katmanı (2. Katman), hem donanımlarda hem de yazılımlarda uygulanır. Fiziksel Katman, ağ kablolaması gibi fiziksel ortamlara en yakın olan katmandır ve bilgiyi ortama yerleştirmekten sorumludur. 1. Katman ve 2. Katman sorunlarının çoğunun nedeni, donanım sorunları ve uyumsuzluklarıdır.
Ağ Araçları Fiziksel Gereksinimler ISP ve büyük kurumlarda ağ kurulumu ev ve küçük işletmelerdekinden çok farklıdır. Trafik çok büyüktür. Sunucular, bunların bağlı olduğu swichler, kesintisiz güç kaynakları en büyük farklardandır. Anlık bir kesinti çok büyük kayıplara yol açabilir. Bu yüzden kesintisiz güç kaynakları büyük önem taşır. Bunların yanında ısı ve nemde ağ sistemlerinde hesaba katılan önemli bir etkidir. Sunucularda ,switchlerde yüksek işlem gücüne sahip ve sürekli
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
18
çalışan cihazlardır. Isının kontrol edilmesi burada önem arz etmektedir. Provus’ta da sistem odalarında büyüklüğüne göre klima ile sürekli soğutma yapılmaktadır. Bunların dışında kablolamada da ağ kurulumu ve sonrasında genişletme durumları için iyi bir strateji izlenmesi gerekir. Mesela Provus’ta bilgisayarlar ile switch arasında patch blok denilen bir metotla sistem odalarındaki kablo karışıklığı önemli ölçüde giderilmiştir. Bu sayede hangi bilgisayar hangi kabloyla switche gidiyor kolay bir şekilde tespit edilebiliyor.
Kablolar 4.4 İletişimdeki önemli öğelerden birisinin kanaldır yani verinin iletim ortamı. Bu iletim ortamı şirket içinde genelde kablolar üzerinden oluyor. İki tür fiziksel kablo bulunur. Metal kablolar genellikle bakır olur ve bilgi taşımaları için bu kablolara elektrik darbeleri uygulanır. Fiber optik kablolar cam veya plastikten yapılır ve bilgi taşımak için ışık parıltılarını kullanır. Kablolarından kendi içinde hızına,sağlamlığına göre çeşitleri vardır. Şirket içinde önemine göre ,ihtiyacına göre farklı kablolar kullanılır. Bunlar arasında Kategori 3 (UTP) tipi kablo santralde telefon hatlarında , Kategori 6 ve 7 tipi switchler arasında veya switch ile bilgisayarlar arasında kullanılmakta. Ana switch ile diğer switchler arasında ise mesela fiber optik kablolar kullanılır.
Switch(Anahtar ) Yapılandırması Anahtarları istediğimiz şekilde çalışması için ayarlarız. Bu ayarlamalar arasında VLAN oluşturma, IP adresi atama, anahtara şifre atama, interface yapılandırması ve daha fazlası vardır. Defterde kullandığım ekran görüntüleri
Provus'ta
çalışmayan
bir
switch üzerinde yaptığım konfigürasyonu ve Cisco firmasının network ile uğraşanlar için sunduğu ağ simülasyon programı
(Ciscp Packet Tracer) görüntülerini kapsıyor.
Cisco
Packet Tracer ile program üzerinde sanki gerçek bir switch yapılandırılıyormuş gibi denemeler yapılabilir. Provus'ta yapılandırdığım anahtara bilgisayarımdan seri bağlantı çektim ve HyperTerminal programı üzerinden bağlantı sağladım. Cisco araçlarında konfigürasyon oldukça kolay öğreniliyor. Bilinmeyen komutlar için "?" kullanımında olası komut listesi önümüze seriliyor böylece komut ezberlemek zorunda kalmıyoruz. Diğer bildiğimiz komutlar içinde bir kaç harfini yazıp TAB tuşuna basıldığında Cisco komutu getiriyor. Bu da konfigürasyon işlemleri hızlandırıyor. Cisco anahtar için Cisco Packet Tracer üzerinde yazdığım komutlar aşağıdaki resimde görülebilir. Yapılandırmada sırasıyla; Enable ile konfigürasyona başlamak için,
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
19
Configüre terminal ile interfacelere (portlara) girmek için, Hostname S1 ile switche isim vermek için, Banner motd ile güvenlik amaçlı kullanıcıya mesaj,uyarı vermek için, Enable password ile şifre girmek için Line con 0 ile line con 0 portu için konfigürasyona başlamak için, Interface vlan 1 ile Virtual LAN 1. Portuna girdim Ip address ile vlan 1 portuna ip adresi atamak için No shutdown ile komut işletilir enale gibi çalışır, Exit ile bir üst (config) menüye dönmek için, Ip default-gateway ile anahtarın varsayılan ağ geçidi değiştirilir, Interface fa0/3 ile fast ethernet 0. Modülünün 3. Portuna erişim sağladım, Speed 10 ile hız gigabite ayarladım ve Duplex half ile aynı anda sadece veri gönderimi veya veri alma için kullandım. Aşağıda show interfaces komutu çalıştırdıktan sonra aldığım ekran görüntüsü;
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
20
show mac-address-table komutu sonucu;
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
21
Bilgi Güvenliği Staj süresince
network ağlarının, sunucuların, yazılımların güvenlik açıkları ve
alınabilecek önlemler ile ilgili ve çalışanların bilgi kaçağını engellemesi için alması gereken tedbirler ile ilgili araştırmalar yaptım ve dokümanlar hazırladım. Şirketteki bu dokümanlar ISO 27001 bilgi güvenliği sertifikası almak için hazırlanıyor. Defterde bunlardan kısaca örnekler vereceğim.
Router/Switch Ilk olarak routerlarda (yada switch) fabrikadan çıkışta enable olarak gelen bazı özellikler, modlar vardır. Bunların kullanılmayanları veya güvenlik tehditi oluşturanları disable edilmelidir. Bunlardan bazılarını örnek vermek gerekirse; � Router da DNS lookup yapılabiliyor mu? Kapalı mı?
Default açıktır birçok Router’da gerek duyulmamaktadır. DNS (Domain Name System) servisi isim ve IP dönüşümü yapmaktadır. Yönlendirici üzerinde istendiğinde isimle iletişim kurulmak isteniyorsa DNS tanımlanarak isim çözümleme işlemi gerçekleştirilebilir. Artık gerek yok çünkü DNS nin kendisi var �
TCP small servers ve UDP small servers service disable mı?
Router(config)#no service udp-small-servers TCP small servers •
•
•
Echo: telnet x.x.x.x echo bu komutla ne yazılırsa geri döndürür. Chargen: telnet x.x.x.x chargen komutuyla ASCII verisi oluşturulur. Discard: telnet x.x.x.x discard komutuyla ne yazılırsa yok sayılır.
x.x.x.x routerın IP adresi ile değiştirilir. Çoğu Cisco router small server bulundurur. The UDP small servers : •
•
Echo: Gönderilen datagramı yükler. Discard: Gönderilen datagramı yoksayar.
Bu servisler hedef sistem hakkında bilgi toplamak için kullanılabilir veya direk olarak UDP echo kullanılarak fraggle attack gerçekleştirilebilir.
Peki sadece IP adresi öğrenilerek nasıl bir atak yapılabilir? Kandırıcı (Spoofer) Kandırıcılar, saldırganın IP adreslerinin sahtelerini üretmek (IP kandırma, IP spoofing) amacıyla kullanılır Şirinler (Smurf, çizgi film) ve Fraggle (Muppet şov’daki yaratıklara verilen ad) saldırı. Saldırılmak istenen hedef makinenin adresi, paketi gönderen adres olarak Staj Yapanın İmzası
Staj Yetkilisinin İmzası
22
yazıldığı bir sahte paketin, bir yayın (broadcast) adresine gönderilmesi ile bu saldırı-lar başlatılır. Yayın bölgesinde var olan bütün makineler hedef makineye cevap paketlerini gönderir. Bu da hedef makinenin İnternet bağlantısına aşırı yük bindirir. IP kandırıcı dışında, başka isimle e-posta mesajı göndermeye yarayan e-posta kandırıcı ve bir web sitesinin sahtesinin yayınlanmasıyla yapılan web kandırıcı yöntemleri de bulunmaktadır � Router da Cisco Discovery Protocol disable mı?
CDP komşu Cisco cihazların ip address, platform türü hakkında bilgi toplar.Eğer herhangibir uygulama tarafından kullanılmıyorsa kapatılmalıdır. Router(config)# no cdp run Router(config-if)# no cdp enable CDP ikinci katmanda çalışan ve Cisco cihazlarının birbirlerini tanımalarını sağlayan bir protokoldür. CDP çerçevelerinin (frame) içerisinde cihazın adı (hostname), IP adresi, cihazın modeli, cihazın işletim sistemi versiyonu gibi bilgiler yer almaktadır. Bu bilgiler ağ üzerinde açık olarak, şifresiz bir şekilde gönderilmektedir. Cihazlara ait bilgilerin ağ üzerinden şifresiz bir şekilde gönderilmesi sakıncalıdır. Cihazın markası ve modeli öğrenilmek suretiyle; o marka ve modele has açıklıklar kullanılarak cihaza saldırı(lar) gerçekleştirilebilir. Cihazlardan öğrenilmiş olan IP bilgileri kullanılarak da ağın topolojisi tespit edilebilir. �
Bootp server disable mı?
Router(config)#no ip bootp server Default olarak router’lar başka routerlar için bootp server görevindedirler,bu diğer Routerların o Routerdan boot edilmesini sağlar. Bu da o router üzerinde üzerindeki işletim sistemini (IOS) kopyalayabileceğimiz anlamına gelir. Kötü niyetli bir kişi Router’ın üzeriden IOS’unu kopyalayabilir. IOS verisyonunun açıklarından yararlanarak saldırmaya çalışabilir. � Router da IP source routing disable mı?
Router(config)#no ip source-route IP source routing, network paketlerinin hangi yoldan gideceğini belirten bir özelliktir. Hacker’lar ip source özelliğini kullanarak paketlerin Firewall, IDS (Intrusion Detection System) gibi güvenlik uygulamalarından bypass edilerek geçmesini sağlayabilirler. Kaynak Yönlendirme (Source Routing) IP’nin bir özelliğidir. Bu özellik etkinleştirilirse paket kendi yolunu belirleyebilir. Bu da birçok atak yapılmasına sebep olabilir. Yönlendiriciler genellikle kaynak yönlendirmeyi desteklerler. Eğer paketler QoS (Quality of Service) gibi özel bir amaçlar için belirli yollardan gönderilmiyorsa bu servis kapatılmalıdır. Staj Yapanın İmzası
Staj Yetkilisinin İmzası
23
Bu şekilde kapatılabilecek servislerin listesi TCP Small Servers
R0(config)#no service tcp-smallservers
UDP Small Servers
R0(config)#no service udp-smallservers
Finger
R0(config)#no service finger
Bootp
R0(config)#no ip bootp server
NTP
R0(config)#no ntp
DNS
R0(config)#no ip dns server
CDP
R0(config)#no cdp run
Telnet SSH
R0(config)#line vty 0 903 R0(config-line)#transport none
HTTP
R0(config)#no ip http server
HTTPS
R0(config)#no ip http secureserver
SNMP
R0(config)#no snmp-server
Staj Yapanın İmzası
Staj Yetkilisinin İmzası
input