Open in app

Sign in

Write

Sign in

Ağ Güvenliği 201 -II

Sevgi Yılmaz
7 min readFeb 29, 2024

--

Serinin bu yazısında network teknolojileri ile devam edeceğim.

  1. FIREWALL : Ağ seviyesinde bir yetkilendirme cihazıdır. Temel amacı ağdaki varlıkları korumak ve birbirleri arasındaki iletişimi sınırlandırmaktır.

2. 3-WAY HANDSHAKE : 3-Way Handshake (Üçlü El Sıkışma), bilgisayar ağlarında bir bağlantı kurma protokolünü ifade eder. Bu özellikle TCP (Transmission Control Protocol) gibi güvenilir veri iletim protokollerinde kullanılır. 3-Way Handshake, bir istemci (client) ile bir sunucu (server) arasında güvenilir bir bağlantı kurulmasını sağlamak için kullanılır ve şu adımlardan oluşur:

- SYN (Synchronize): İlk adımda, istemci bir bağlantı başlatma isteği gönderir ve “SYN” bayrağını (synchronize) kullanır. Bu paket, istemcinin bağlantı kurma niyetini ifade eder.

- SYN-ACK (Synchronize-Acknowledgment): Sunucu, istemcinin bağlantı talebini aldığını onaylamak için bir “SYN-ACK” paketi gönderir. Bu paket, bağlantının kabul edildiğini ve sunucunun da bir bağlantı kurmaya hazır olduğunu belirtir.

- ACK (Acknowledgment): İstemci, sunucunun onayını alarak bir “ACK” paketi gönderir. Bu, sunucunun SYN-ACK paketini aldığını ve bağlantının güvenli bir şekilde kurulduğunu belirtir.

Bu üç adımlık el sıkışma işlemi, hem istemci hem de sunucu arasında birbirini anlamak ve bağlantı kurmak için kullanılır. Her adımın karşı taraf tarafından doğrulandığından emin olunur. Eğer bir adımda bir hata olursa veya bir paket kaybolursa, bağlantı tekrar kurulur.

Bu el sıkışma işlemi, güvenilir veri iletimi sağlar ve verilerin güvenli bir şekilde karşı taraftan alındığını doğrular. TCP gibi güvenilir veri iletim protokollerinde bu tür bir el sıkışma, iletişim hatası olasılıklarını en aza indirir ve güvenli bir bağlantı kurulmasını sağlar.

3. 4-WAY TERMINATION: 4-Way Termination, bir TCP (Transmission Control Protocol) bağlantısının sonlandırılma aşamasını ifade eder. TCP bağlantıları, veri iletimi tamamlandıktan sonra kapatılmalıdır ve bu kapatma süreci dört aşamada gerçekleşir. Bu aşamalara “4-Way Termination” denir. Aşamalar şunlardır:

- FIN (Finish) Segment Gönderme: Bir taraf (genellikle istemci veya sunucu), bağlantıyı sonlandırmak istediğini belirten bir “FIN” bayrağı taşıyan bir paket gönderir. Bu paket, diğer taraftaki uygulamaya, veri iletiminin tamamlandığını ve bağlantının kapatılacağını bildirir.

- ACK (Acknowledgment) Segment Alma: Diğer taraf, FIN paketini aldığını doğrulayan bir “ACK” paketi gönderir. Bu, karşı taraftaki uygulamanın bağlantı sonlandırma isteğini anladığını ve kendisinin de hazır olduğunu belirtir.

- FIN Segmenti Alma: Diğer taraf da aynı şekilde bağlantıyı sonlandırmak istediğini belirten bir “FIN” paketi gönderir.

- ACK Segmenti Gönderme: İlk taraf, diğer tarafın FIN paketini aldığını doğrulayan bir “ACK” paketi gönderir.

Bu dört aşama, bağlantının güvenli bir şekilde sonlandırılmasını sağlar. İki taraf da birbirlerine bağlantının kapatılacağını belirtir ve birbirlerinin bu kapatma taleplerini kabul ederler. Bu süreç, veri iletimi tamamlandıktan sonra bağlantının güvenli bir şekilde sonlandırılmasını ve kaynakların serbest bırakılmasını sağlar.

4. NETWORK ACCESS CONTROL: Network Access Control (NAC), bir bilgisayar ağına erişimi kontrol etmek ve yönetmek için kullanılan bir güvenlik önlemidir. NAC, ağa bağlanan cihazların güvenilirliğini ve uygunluğunu değerlendirir, gerekli güvenlik standartlarına uyup uymadıklarını kontrol eder ve ardından bu cihazlara ağ erişimini sağlar veya engeller.

NAC’nin temel amacı, ağa bağlanan cihazların uygun güvenlik önlemlerine sahip olup olmadığını kontrol ederek ağ güvenliğini artırmaktır. Bu kontroller, hem bilgisayarlar hem de diğer ağ cihazları (akıllı telefonlar, tabletler, IoT cihazları vb.) için geçerlidir.

5. IPS/IDS:IPS (Intrusion Prevention System) ve IDS (Intrusion Detection System), bilgisayar ağları ve sistemlerini siber saldırılara karşı korumak amacıyla kullanılan güvenlik sistemleridir.

— IDS (Intrusion Detection System — Saldırı Algılama Sistemi):

  • IDS, ağ üzerindeki trafikleri izleyen ve anormal aktiviteleri tespit eden bir sistemdir.
  • Anormallikler genellikle belirli saldırı imzaları veya önceden tanımlanmış modellerle karşılaştırılarak belirlenir.
  • IDS, saldırı tespitini gerçekleştirdikten sonra genellikle bir uyarı oluşturur, ancak bu sistem saldırıları otomatik olarak durdurmaz.

— IPS (Intrusion Prevention System — Saldırı Önleme Sistemi):

  • IPS, IDS’nin ötesine geçerek siber saldırıları tespit etmekle kalmaz, aynı zamanda bu saldırılara karşı otomatik önlemler alabilir.
  • Algılanan saldırıları engellemek veya izin verilen güvenli trafikleri korumak için proaktif bir yaklaşım sunar.
  • IPS, saldırıları durdurarak ağ güvenliğini artırır ve hedef sistemlere zarar verilmesini engeller.

6. PROXY: Proxy, bir bilgisayar ağında (genellikle internet) bir kullanıcının taleplerini başka bir sunucuya ileten bir ara sunucudur. Kullanıcının bilgisayarından gelen talepler önce proxy sunucusuna ulaşır, ardından proxy sunucusu bu talepleri hedef sunucuya ileterek gerçekleştirir. Proxy, kullanıcı ve hedef sunucu arasında bir aracı rolü oynar.

Proxy’nin temel işlevleri şunlardır:

  • Anonimlik ve Gizlilik Sağlama: Kullanıcılar, proxy sunucularını kullanarak internet üzerinde gezinirken gerçek IP adreslerini gizleyebilirler. Bu, kullanıcıların anonim bir şekilde web’e erişmelerine olanak tanır.
  • İnternet Erişim Kontrolü: Proxy, belirli içeriklere erişimi sınırlamak veya engellemek için kullanılabilir. Bu, kuruluşların ağ trafiğini kontrol etmelerine ve filtrelemelerine yardımcı olur.
  • Güvenlik: Proxy, gelen ağ trafiğini izleyerek potansiyel tehditleri tespit edebilir. Güvenlik açısından önemli bir katman ekleyerek zararlı içeriklere karşı koruma sağlayabilir.
  • Ağ Performansını İyileştirme: Proxy sunucular, web içeriğini önbelleğe alarak ve içeriği sıkıştırarak ağ performansını artırabilir. Bu, bant genişliğini daha etkili kullanmalarına olanak tanır.
  • Erişim Kontrol Listeleri: Proxy, erişim kontrol listelerini kullanarak belirli IP adresleri veya kullanıcı grupları için erişim kısıtlamaları uygulayabilir.
  • Geri İzleme ve Günlükleme: Proxy sunucular, kullanıcıların internet kullanımını izlemek ve günlüklemek için kullanılabilir. Bu, ağ trafiğini inceleme ve raporlama amacıyla önemlidir.

Proxy, kullanıcıların güvenlik, gizlilik ve ağ performansı konularında çeşitli avantajlar elde etmelerine yardımcı olur. Corporate Proxy veya Web Proxy gibi çeşitli türleri bulunmaktadır ve bu türler farklı kullanım senaryolarına ve ihtiyaçlara yönelik olarak konfigüre edilebilir.

7. WAF: Sizin sahip olduğunuz sitelere gelen trafiği detaylı olarak inceler. Sayfayı çağıran browser, çağıran kullanıcının IP’si, referrer gibi parametrelere bakar. Sayfanın normalde aldığı trafiğin baseline’ını ve input parametrelerini öğrenerek buradan sapmaları anomali olarak değerlendirir.

8. DDoS MITIGATION:

  • Trafik Filtreleme: DDoS saldırıları genellikle ağ trafiğini aşırı derecede artırarak hedef sistemleri aşırı yükler. DDoS koruma çözümleri, bu aşırı trafiği filtreleyerek normal trafikle saldırgan trafiği ayırt eder.
  • Trafik Yönlendirme ve Kapasite Artırma: DDoS saldırılarına karşı, hedef sistemlerin trafik yönlendirme algoritmaları değiştirilebilir. Ayrıca, ek bant genişliği sağlanarak saldırı trafiğini absorbe etme kapasitesi artırılabilir.
  • Anormallik Algılama ve İnceleme: DDoS koruma sistemleri, normal ağ trafiğinin örüntülerini öğrenir ve anormal durumları tespit edebilir. Bu sayede, saldırıları önceden algılamak ve engellemek mümkün olabilir.
  • CDN (Content Delivery Network) Kullanımı: CDN’ler, içeriği coğrafi olarak dağıtarak ve yerel sunucular üzerinden sağlayarak hedef sistemleri koruyabilir. Saldırılar genellikle coğrafi konumlardan gelir, bu nedenle CDN’ler kullanılarak saldırı trafiği dağıtılabilir.
  • Güvenlik Duvarları ve IPS/IDS Sistemleri: Güvenlik duvarları, IPS (Intrusion Prevention System) ve IDS (Intrusion Detection System) gibi sistemler, DDoS saldırılarına karşı filtreleme ve algılama sağlamak için kullanılabilir.
  • Yedekleme ve Failover Planları: DDoS saldırılarına karşı hazırlıklı olmak için yedekleme sistemleri ve failover planları oluşturulabilir. Bu, saldırı sırasında hizmetin sürekli olarak devam etmesini sağlar.

Genel anlamda network teknolojilerinden bu şekilde bahsedebiliriz.

AĞ ATAKLARI (NETWORK ATTACKS)

  1. Virtual LAN (VLAN) Hopping: Virtual LAN (VLAN) hopping, bir ağ ortamında güvenlik zafiyeti oluşturan bir durumu ifade eder. VLAN’lar, bir fiziksel ağı mantıksal olarak daha küçük, izole yayın alanlarına bölme amacıyla kullanılır. Bu bölme, ağın etkinliğini, güvenliğini ve yönetilebilirliğini artırmaya yardımcı olur.

VLAN hopping genellikle bir saldırganın, kendi VLAN’ının dışındaki bir VLAN’deki trafiğe izinsiz erişim sağlamaya çalıştığı durumu ifade eder.

Switch Spoofing veya Double Tagging:

  • Bu tür VLAN hopping’de, bir saldırgan çift 802.1Q etiketi içeren çerçeveler gönderir.
  • Saldırganın çerçevesi, kendi VLAN’ı için bir etiket ve hedef VLAN için başka bir etiket içerir.
  • Anahtar, yanlış yapılandırılmış veya savunmasızsa, çerçeveyi yanlış bir şekilde yorumlayabilir ve hedef VLAN’a iletebilir.

2. CAM Table Overflow: CAM (Content Addressable Memory) table overflow, ağ güvenliği bağlamında bir saldırı türünü ifade eder. Bu saldırı, bir anahtarın veya ağ anahtarlamasının CAM tablosunun aşırı yüklenmesiyle gerçekleşir. CAM tablosu, ağ anahtarlarının MAC (Media Access Control) adreslerini fiziksel bağlantılara atanmasını sağlayan bir bellek tablosudur.

Saldırganlar, CAM tablosunun limitini aşmak için çeşitli yöntemleri kullanabilirler. Saldırının ana hedefi, ağ anahtarının CAM tablosunu doldurarak, meşru trafiği doğru bir şekilde yönlendirememesine neden olmaktır. Bu durumda, ağ anahtarı, hedeflenen cihazların yerini belirlemede sorunlar yaşayabilir ve iletişim kopabilir.

MAC Flooding (MAC Saldırısı): Saldırganlar, ağdaki tüm meşru MAC adreslerini aşırı miktarda sahte MAC adresiyle dolu Ethernet çerçeveleri göndererek CAM tablosunu doldurabilirler. Bu, CAM tablosunun limitini aşar ve ağ anahtarının normal işlevselliğini engeller.

3. Arp Poisoning: ARP (Address Resolution Protocol), bir cihazın IP adresini MAC (Media Access Control) adresine çevirmek için kullanılan bir protokoldür. ARP poisoning, bu protokolü kötüye kullanarak ağ trafiğini manipüle etmeye yönelik bir saldırıdır.

Saldırganlar, ARP tablosunu yanıltarak sahte ARP (Address Resolution Protocol) yanıtları gönderirler. Bu yanıtlar, hedeflenen cihazların IP adreslerine karşılık gelen doğru MAC adresleri yerine, saldırganın kontrolündeki bir cihazın MAC adresini içerir.

Serinin devamı olarak network teknolojileri ve network atakları konusunda araştırmalarımı paylaştığım yazım umarım bilgilendirici ve açıklayıcı olmuştur. Serinin bir önceki yazısına aşağıdaki linkten ulaşabilirsiniz.

Ağ Güvenliği 201 -I: https://medium.com/@sevgiyilmaz/a%C4%9F-g%C3%BCvenli%C4%9Fi-201-i-caa01409c379

Network Technology
Network Attacks

--

--

Sevgi Yılmaz

Written by Sevgi Yılmaz

2 Followers

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams