ŞEKİL LİSTESİ

Şekil 3.1.     TCP/IP’ nin yapısı............................................................................................... 15

Şekil 3.2.     Fiziksel katmanda veri......................................................................................... 15

Şekil 3.3.     IP başlığı içindeki alanlar...................................................................................... 16

Şekil 3.4.     TCP başlığı içindeki alanlar.................................................................................. 18

Şekil 3.5.     UDP başlığı içindeki alanlar................................................................................. 19

Şekil 3.6.     IP adres sınıfları................................................................................................... 21

Şekil 3.7.     Yönlendiriciler ile ağ konfigürasyonu.................................................................... 24

Şekil 3.8.     OSI katmanları.................................................................................................... 27

Şekil 3.9.     TCP/IP ve OSI standartlarının karşılaştırılması...................................................... 28

Şekil 3.10.   Dial-up telefon hattı ile bağlantı............................................................................ 33

Şekil 3.11.   X.25 ITI ile bağlantı............................................................................................ 33

Şekil 3.12.   Ücretsiz yazılımlar ile gerçekleştirilen bağlantı........................................................ 34

Şekil 3.13.   X.25 bağlantı...................................................................................................... 34

Şekil 3.14.   Yönlendirici ile gerçekleştirilen bağlantı................................................................. 35

Şekil 3.15.   İki ayrı web sunuculu uygulama............................................................................ 36

Şekil 3.16.   İntranet ulaşımına izin verilmesi durumundaki ağ yapısı önerisi................................ 36

Şekil 3.17.   Ağın dinlenmesi................................................................................................... 37

Şekil 3.18.   Ağın dinlenip mesaj gönderimi.............................................................................. 37

Şekil 3.19.   Modem hatlarının dinlenmesi................................................................................ 38

Şekil 3.20.   Bir ağdaki firewall kullanımı................................................................................. 39

Şekil 3.21.   Donanımsal firewall............................................................................................. 39

Şekil 3.22.   Yazılım ile sağlanan firewall.................................................................................. 40

Şekil 3.23.   Bir yönlendirici ve bir uygulama geçidinden oluşan firewall.................................... 40

Şekil 3.24.   Telnet ve SMTP için paket filtreleme yapısı.......................................................... 42

Şekil 3.25.   Proxy server çalışması......................................................................................... 43

Şekil 3.26.   Packet filtering firewall yapısı............................................................................... 44

Şekil 3.27.   Yönlendirici ile desteklenmiş bir Dual-Homed firewall genel yapısı........................ 44

Şekil 3.28.   Screened Host firewall yapısı............................................................................... 45

Şekil 3.29.   Perdelemeli firewall için ana modem uygulaması.................................................... 46

Şekil 3.30.   Perdelenmiş alt ağ ve çift tarafli geçit tipi firewall için modem bağlantısı.................. 47

Şekil 4.1.     ISS şifresi hata mesajı.......................................................................................... 49

Şekil 4.2.     Klasör seçenekleri............................................................................................... 50

Şekil 4.3.     Şifrenin kayıtlı olduğu .pwl uzantılı dosyalar.......................................................... 51

Şekil 4.4.     Mirc.ini dosyası ve içeriği..................................................................................... 51

Şekil 4.5.     Yeni bağlantı....................................................................................................... 52

Şekil 4.6.     Yeni bağlantı numarası......................................................................................... 52

Şekil 4.7.     Bağlantı sonu....................................................................................................... 53

Şekil 4.8.     Bağlantı özellikleri................................................................................................ 53

Şekil 4.9.     Yapılandırma ayarları........................................................................................... 53

Şekil 4.10.   Güvenlik ayarları................................................................................................. 54

Şekil 4.11.   Kullanıcı adı ve parolası....................................................................................... 54

Şekil 4.12.   Bağlantı ekranı.................................................................................................... 55

Şekil 4.13.   Çevirmeli uç birim ekranı..................................................................................... 55

Şekil 4.14.   İnternet Explorer güvenlik ayarları........................................................................ 57

Şekil 4.15.   Çerezlerin (Cookies) çalışması............................................................................. 58

Şekil 4.16.   Çerezlerin (Cookies) diske yerleştirilmesi............................................................. 58

Şekil 4.17.   Virüslü e-posta.................................................................................................... 62

Şekil 4.18.   Virüs tarfından kayıtların değiştirilmesi.................................................................. 63

Şekil 5.1.     Elektronik ticaretin çalışması................................................................................ 86

Şekil 5.2.     SSL protokol katmanı......................................................................................... 89

Şekil 5.3.     Sertifika alımı...................................................................................................... 90

Şekil 5.4.     SSL kullanılarak yapılan güvenli bağlantı............................................................... 91

Şekil 5.5.     Browserdaki bağlantı simgeleri............................................................................. 92

Şekil 5.6.     SET hesabının oluşturulması................................................................................. 93

TABLO LİSTESİ

Tablo 3.1. X ve Y değişkenlerinin durumu............................................................................... 22

Tablo 3.2. IP adresinin son oktedinin ilk üç biti........................................................................ 23

KISALTMALAR LİSTESİ

WAN     : Geniş Alan Ağı (Wide Area Network)

LAN      : Yerel Alan Ağı (Local Area Network)

SSH       : Güvenli Kabuk (Secure Shell)

SFT       : Sistem Hata Tolerans (System Fault Tolerance)

PKIS     : Genel Anahtar Alt Yapı Servisleri (Public Key Infrastructure Services)

TCP/IP  : İletişim Kontrol Protokolü/İnternet Protokolü (Transmission Control Protocol/Internet Protocol)

MAC     : Mesaj doğrulama kodu (Message authentication code)

ICMP    : İnternet Mesaj Kontrol Protokolü (Internet Control Message Protocol)

ARP      : Adres Çözümleme Protokolü (Address Resolution Protocol)

UDP      : Kullanıcı Datagram Protokolü (User Datagram Protocol)

OSI        : Açık Sistem Bağlantıları (Open Systems Interconnect)

ISS        : İnternet Servis Sağlayıcı

URL      : Evrensel Kaynak Konumlandırıcısı (Universal Resource Locator)

FTP       : Dosya Transfer Protokolü (File Transfer Protocol)

RSA      : Genel Anahtar Şifreleme (Rivest-Shamir-Adleman - Public key cryptography)

DES       :Veri Şifreleme Standardı (Data encryption standard)

SSL       : Güvenli Soket Katmanı (Secure socket layer)

SET       : Güvenli Elektronik İşlem (Secure Electronic Transaction)

IPv4       : IP Versiyonu (IP Version )

Ipv6       : IP Versiyonu (IP Version )

1. GİRİŞ

İki bilgisayarı birbirine bağlanırsa, basit bir ağ (network) elde edilir. Birkaç ağ birbirine bağlanırsa bu da WAN (Wide Area Network) adını alır. Dünyanın en büyük WAN’ı ise internettir. İnternet için ağların ağıdır diyebiliriz. Daha genel bir cümle kullanacak olursa internet dünyanın en büyük iletişim ağıdır. İnternet ile 110 ülkeden toplam 2.000.000’dan fazla bilgisayar ve 5000’den fazla ağ birbirine bağlanmaktadır.

İnternetin bu hızlı gelişimi iletişimi bir yönden kolay bir yönden de zor hale getirmektedir. İletişimin kolay olması istenildiği zaman bilgiye ulaşılma imkanın olmasıdır. Zorluk ise internet üzerinde dolaşan verilerin tehlike altında bulunmasından kaynaklanır. Bu durumda ise internet üzerinde açık bir şekilde dolaşan bilgilerin güvenlik altına alınması gerekmektedir.

Güvenlik ile ilgili çalışmalar çok yavaş bir tempo ile devam etmektedir. Diğer cephede (kötü amaçlı olanlar) çok büyük gelişme meydana gelirken, güvenlik konusunda ulaşılan nokta henüz arzulanan düzeye gelememiştir. Yine de internet üzerinde güvenliğin sağlanması için bir çok yol ve yöntem vardır. İnternette güvenlik internet aracılığı ile bir yerden bir yere akış içersindeki verilerin gideceği yere doğru, bozulmamış, başkaları tarafından ele geçirilmemiş ve silinmemiş bir halde ulaşmasıyla sağlanır. Verilerin istenilen yere bu şekilde ulaşması için izlenmesi ve alınması gereken önlemler vardır. Bu önlemler güvenli ağ katmansal bir yaklaşımla sağlanabilir. Bu da pek çok güvenlik konusunu dikkate almayı gerektirir. Bunun için de güvenlikte dikkate alınması gerekli noktalar sıralarsak;

v   İşletim sistemi güvenliği,

v   Ağ güvenliği,

v   Firewalls (güvenlik duvarları),

v   Programlanmış tehlikelere karşı koruyucu araçlar,

v   Güvenlik politikası.

Nasıl bir zincirin gücü en zayıf halkası ile temsil edilir ise güvenliğin gücü de en zayıf noktası ile belirlenir.

Güvenlik politikası: Bir kurumda tam anlamı ile tanımlanmış ve dökümante edilmiş bir güvenlik politikası yok ise, bu politika her kademedeki kullanıcıya eğitim ile aktarılmamış ise, bu politikanın uygulanışı tarafsız bir kişi veya kurum tarafından kontrollerle denetlenmiyor ise, siz ne kadar ciddi önlem alırsanız alınız, en alt düzeyde görevlinin yapacağı basit bir hata güvenliği tümüyle tehlikeye atabilir.

Programlanmış tehlikeler ve firewalls: Dışarıdan gelecek virüs, trojan, solucanlae vb. saldırıları için güvenlik duvarlarına (firewalls) ek olarak daima yeni üreyen virüslere karşı güncelleştirilen virüs bekçileri kullanmak gerekir. Bugün iki saatte bir yeni bir virus üretildiği düşünülür ise, bu güncelleştirmenin ne kadar önemli olduğu ortaya çıkacaktır.

Ayrıca kurumlar için güvenlik duvarlarının ne kadar önemli ve yararlı olduğu pek çok kişi ve kurum tarafından bilinmesine karşın, yapılan anket çalışmaları kurumların halen % 50 sinin güvenlik duvarına sahip olmadığını göstermiştir.

Ağ ve sistem kuruluşu: Kullanım amaçlarına göre pek çok farklı ağ kuruluşu gerçekleştirmek olasıdır. Bu ağ kuruluşları gerçekleştirilirken kurumun kendisine en uygun olan ve güvenliği en iyi sağlayan ağ yapısını kullanması çok önemlidir.

İşletim sistemleri: Servis sağlayan işletim sistemleri, çok karmaşık ve çok esnek yapıya sahiptir. Çok servis ise çok daha fazla dışarıdan saldırıya açık kapı olasılığı demektir.

Örneğin UNIX ve Windows için halen daha pek çok saldırıya açık deliklerin bulunduğunu söylemek hatalı olmayacaktır. Bu nedenle işletim sistemlerinde internetle bağımlı servisler; FTP ve Telnet gibi uygulamalarda çok dikkatli olunması gerekmektedir. Bu durumda güvenlik duvarları kullanmak gerekli bir yöntemdir.

Bu özellikler internet güvenliğinin sağlanması için temel oluşturur. Bunların dışında bir çok güvenlik tedbirlerinin alınması da gerekmektedir. Kullanıcıların dikkatli ve ne yaptığını bilen bir kişi olması güvenliği tehdit eden unsurların gücünü olabildiğince azaltacaktır. İnternette güvenlik ilk önce kullanıcı tarafından sonrada sistemin bizlere sunduğu özelliklerden yararlanılarak sağlanabilir.

2. İŞLETİM SİSTEMİ GÜVENLİĞİ

2.1. İşletim Sistemi Nedir?

İşletim Sistemi (Operating System), sistemde bulunan çevre elemanları ile (Donanım=Hardware) yazılımlarınızın (Software) haberleşmesini sağlayan yapıdır. İşletim sistemi de bir çeşit yazılımdır, ve bu yazılım, daha düşük seviyeli erişimlerle donanımın kontrolünü, kaynakların kullanımını ve paylaşımını sağlar. Örnek olarak işletim sistemi, sisteme bağlı olan yazıcılara gönderilen dosyaların basımı, sistemin boş olan hafızasının kullanımı ve sisteme bağlı diğer birimlerin yönetimini sağlar. [1, 7]

2.2. İşletim Sistemlerinin Ortak Güvenlik Sorunları

Bir sistem açık olduğu ve erişilebildiği sürece tam olarak güvenli sayılmaz. Bu konuda atılabilecek en iyi adım, sistemin güvenliğini dışarıdan gelebilecek saldırılara karşı artırmak olacaktır. Bir ev kullanıcısı için sistem güvenliği nispeten önemli olmasa da, internet üzerinde yer alan üniversitelerin, kamu kurum ve kuruluşlarının gerekli önlemi almaları gereklidir.

Güvenlik bir bütün olarak ele alınmalıdır. Alt yapıyı sağlam tutmak için öncelikle temel sistem güvenliğine özen gösterilmelidir. Bunun içine ağ ve kablo güvenliği yerleştirilebilir. Ardından makinelerin işletim sistemi güvenliği gelmelidir. Tüm ağ ortamlarında geçerli olan güvenlik tedbirleri şu şekilde sıralanabilir:

1- Ağ kabloları yere sabitlenmeli veya özel koruyucu plastik/alüminyum bir borunun içinden geçirilmelidir. Lineer ve Halka bağlantılarda tek bir kablonun kopması, tüm ağın kullanılamaz duruma gelmesine sebep olacaktır.

2- Mutlaka sistem günlük yedeklenmelidir. Meydana gelebilecek her türlü sorunun telafisi olmayacak sonuçlar çıkarabileceği unutulmamalıdır.

3- Sistemde elektrik kesilmesi sonucu henüz kaydedilmemiş dosyalar kaybedilebilir, bilgi okunurken/yazılırken elektrik kesilmesi sonucu sabit diskler hasar görebilir. Bu sorunları önlemek için mutlaka bir kesintisiz güç kaynağı (UPS) kullanılmalıdır

4- Bir sistemin sağlam güvenilir olması sadece sistem yöneticisine bağlı değildir. Bir çok hacker (sisteme yasal olmayan yollardan girebilen kişiler) ve cracker (sisteme yasal olmayan yollardan giren ve zarar veren kişiler) sadece kullanıcıların bilgisizliğinde yararlanarak çok kolay bir şekilde sistemdeki değerli bilgilere ulaşabilirler. Bunu önlemenin yolu da kullanıcıları eğitmekten veya parola yaşlandırma ve sadece belli bir kalıba göre üretilen şifrelerin kullanılabilmesine izin vermekten geçer. [4, 6]

Şu an günümüzde güvenlik ve kullanıldığı alanların yaygınlığı bakımından dört işletim sisteminin yapısı ve güvenliği hakkında bilgi verilecektir.

2.3. İşletim Sistemleri ve Güvenlik

2.3.1. Unix

Unix işletim sisteminin kendine özgü bir mimarisi bulunmaktadır. C programlama dilinde hazırlanan çekirdeği yaklaşık 10.000 satırdan oluşur. 1000 satırdan oluşan assembly kısmı da vardır. Assembly kısmının 200 satırı verimliliği arttırmak, 800 satırı ise donanım işlevlerini yerine getirmek için kullanılmaktadır.

Unix işletim sistemi üç ana bölümden oluşmaktadır. Bunlar:

1-   Çekirdek ( kernel )

2-   Kabuk ( shell )

3-   Programlar şeklindedir.

Çekirdek : Çekirdek bilgisayara erişimi denetler, bilgisayarın belleğini yönetir, dosya sisteminin bakımını yapar ve kullanıcılar arasında bilgisayar kaynaklarının bölümünü sağlar.

Kabuk: Kullanıcı ile işletim sistemi arasındaki bağlantıyı kurar. Kabuk bir komut yorumlayıcısı olarak da tanımlanabilir. Verilen komutları okur yorumlar ve diğer programları çalıştırarak kütüklere erişilebilecek veya çıktı sağlayabilecek biçime dönüştürür. [1, 9]

2.3.1.1. Unix işletim sisteminin özellikleri

v   Dosyalar: sıradan dosyalar, dizinler ve özel dosyalar şeklindedir. Sıradan dosyalar basitçe bir karakter dizisi olarak görülebilir. Herhangi bir bilgiyi daha sonra kullanmak üzere saklamak amacıyla kullanılır. İki veya daha fazla program aynı dosyayı okuyup yazabilir.

v   Kullanıcılar: Sistem yöneticisi( superuser ) ve normal kullanıcılar olmak üzere iki sınıfta değerlendirilir. Sitem yöneticisi kullanıcıların sisteme giriş haklarını belirler. Sistem kontrolü yöneticinin denetimindedir. Unix kullanıcıları da iki sınıfta değerlendirir; birinci sınıf kullanıcılar paket programları kullanırlar. Sistem hakkında birşey bilmeleri gerekmemektedir. İkinci tip kullanıcılar ise programları hazırlayan sistem geliştiricilerdir.

v   Taşınabilirlik: Unix kaynak kodları serbestçe dağıtılabilir.

v   4 GB RAM adresleme yapabilir.

v   Çok Görevlililik: Birden fazla kullanıcıyı destekler.

v   Çok Kullanıcı Tanımları: Unix terminal- host olarak çok kullanıcı yeteneklerini sağlar. Çeşitli kullanıcılar dump (aptal) terminallerden login olarak Unix bilgisayarına bağlanırlar.

v   16 bit Windows uygulamalarını destekler.

v   Uzun kütük isimlerini destekler. [1, 6]

2.3.1.2. Unix güvenlik türleri

Özel olma: Sahip olunan bilgilere yetkisiz kişilerin erişiminin engellenmesi

Veri bütünlüğü: Bilgilerin, programların vb. verilerin izinsiz olarak silinip, değiştirilmemesi

Kullanılabilirlik: İzin dahilinde verilerin kullanılabilmesidir. İzinsiz olarak accountun silinmesi buna örnek verilebilir.

Tutarlılık: Sistemin önceki şekliyle çalışması. Örneğin bir hata karşılığında sistem bir hata mesajı veriyorsa, başka bir zamanda aynı hataya karşı da aynı hata mesajını vermesidir.

Yalıtma: Sisteme erişimin düzenlenmesi

İzleme: istenmeyen kullanımların kontrol altında tutulması.

2.3.1.3. Güvenilirlik

Unix güvenilirlik özellikleri şunlardır:

Yapısal istisnaların kullanımı: Geliştiricilere, nadiren ortaya çıkacak hataların düzeltilmesi konusunda yardımcı olacak bir mekanizma sağlar.

Korunmuş bellek: Her uygulama için bellekte bağımsız bir yer ayrılır. Böylece kullanılan uygulamalardan herhangi birisi çalışamaz duruma gelirse sistemin işleyişinde herhangi bir aksaklık ortaya çıkmaz.

2.3.1.4. Ağ güvenlik modellemesi

Merkezden yönetim: Örgütlenme içindeki kaynakları,kullanıcıları ve ağın tümünü bir kişi grup veya bölüm yönetir.

Dağıtılmış yönetim: Ağ bölüm ya da çalışma grubu düzeyinde yönetilir. Bir ağ üzerinde çeşitli bölüm ya da çalışma grubu düzeyi yönetici olduğunda, sistem politikaları ve yordamları  bir çalışma grubundan diğerine değişmektedir.

Karışık yönetim: Merkezden ve dağıtılmış yönetimin özelliklerini taşır. Bölüm veya çalışma grubu düzeyindeki yöneticiler kullanıcıların günlük gereksinimleri ile ilgilenirken, merkezdeki yönetici (veya grup) sistem politikalarının kuruluş çapında uygulanmasını sağlar.

2.3.1.5. Ağ güvenlik türleri

Fiziksel güvenlik: Her bilgisayarın fiziksel olarak güvende olması gerekmektedir. Yetkisi olmayan kişilerin erişimini engellemek fiziksel güvenliği sağlayacaktır.

Kullanıcı güvenliği: Unix ‘te kullanıcı olarak tanım ve ait olunan bir grup vardır. Bu bilgi kullanıcıların yetkilerini ve networkle iletişimini düzenler. Kullanıcı güvenliğinin iki önemli yönü vardır.

v   Kullanıcıların gerek duydukları kaynaklara erişimini kolaylaştırmak.

v   Kullanıcıları yavaşlatan gereksiz kaynakları ise kullanıcılardan uzak tutmak.

Unix’te güvenlik düzeyi programlara ve komutlara göre sınırlandırılmıştır. Unix bu uygulama ile geliştiricilere avantaj sağlamaktadır. Ama kullanıcılar yetkilileri olmadığı halde bazı bilgilere ulaşabilmektedirler.

Dosya Güvenliği: Dosya güvenliği sağlamanın iki yönü vardır;

v   Dosya erişimini denetlemek

v   Dosya bütünlüğünü korumak

Unix’de kullanılan dosya sistemi ile, her dosya okuma yazma ve çalıştırılabilme konusunda kontrol altında tutulur. Dosyalar için okuma, yazma ve oluşturma hakları vermektedir. [6, 7, 9]

2.3.2. Linux

Linux işletim sistemiyle kişisel bir bilgisayar kullanıcısı; çoklu-ortam uygulamaları, veri tabanları, her tür ağ protokolünü içeren etkin bir ağ desteği, web sunucusu, DNS sunucusu, NFS sunucusu, SMTP (e-mail) sunucusu, news sunucusu, ve diğer TCP/IP servislerinin yanı sıra NOVELL, WINDOWS (3.1/95/NT) ve MacOS işletim sistemlerinin disk ve yazıcılarına erişmeyi sağlayan servisler vb. özelliklerden yararlanacaktır. [4, 6]

2.3.2.1. Linux işletim sisteminin özellikleri

Linux ücretsizdir. Ancak Linux herhangi bir ticari destek altında gelişmemektedir. Bundan dolayı diğer işletim sistemlerinde olan teknik destek, dağıtım ve dökümantasyon alanlarında eksikleri vardır.

Bir Linux makine bu sayede sadece işletim sistemi açısından değil donanım olarak da ucuza gelmektedir. Maliyeti olarak da Windows NT’den düşüktür Linux, çoğu durumda performans açısından NT ve diğer Unix türlerinden daha üstündür.

v   GNU GPL lisansı altında serbestçe dağıtılabilmekte ve kopyalanabilmektedir.

v   Çok kullanıcılılık (Multiuser): Lisans sorunu olmadan aynı makinede birden fazla kullanıcı çalışabilir.

v   Çok görevlilik (Multitasking): Aynı anda birden fazla programın çalıştırılabilmesidir.

v   Çekirdek, sürücüler, uygulama programları ve kullanıcı programları dahil tüm kaynak kodu erişilebilir haldedir.

v   4 TB'a kadar disk alanını, 4 GB'a kadar hafıza alanını destekler.

v   Çok işlemcililik (Multiprocessor): Birden fazla işlemci desteği vardır. (16 işlemciye kadar).

v   HFS (Macintosh) dosya sistemi desteği vardır.

v   MSDOS, VFAT, FAT32 desteği vardır.

v   WWW, FTP, NFS, DNS, NIS sunuculuk yapabilir.

v   Macintosh, WfW, Windows NT, Windows 3.1/ 95/ 98 dosya ve yazıcı paylaşımı yapabilir.

v   Hemen hemen tüm ağ protokollerini destekler (TCP, IPv4, IPv6, AX.25, X,25, IPX, AppleTalk, NetBUI, Netrom vb.).[4, 6]

2.3.2.2. Linux ağ güvenliği

Linux internet aracılığı ile gelen saldırı ve tehlikelere karşı kuvvetli ve birçok güvenlik birimlerine sahiptir. Bu Linux'un Intermet'le yoğun uğraşanlar arasında popüler olmasının en önemli sebebidir.

Linux kulanıcıları bu hatalara ışık tutar ve çabucak bir yama çıkartırlar. Bu yamalar diğer işletim sistemlerindeki kardeş programların yamalarından çok daha hızlı çıkarlar.

SSH (Secure Shell System): Makine bilgilerine bakarak bağlantıları reddetmek saldırılardan korunmak için iyi bir yöntemdir. Ağ bağlantıları sahte makine isimleriyle yapılabilmektedir. İnternet üzerinden programlar arası haberleşmede bilgi tehlikededir. Yeterli bilgiye sahip birisi bunlara bakabilir. Bu problemler internet protokollerinin karşılıklı haberleşmeleri sırasında gerçekleşir. Bu güçlüklerin üstesinden gelmek için ssh tasarlanmıştır.

SSH bağlantılarda kimlik kontrolü ve şifreleme yapan sağlam yapılı ve iyi geliştirilmiş bir sistemdir. Şifreleme, bilgi paketlerinin iletimi sırasında kodlar kullanır. Kimlik doğrulama (authentication) bağlantı ya da paket iletimi varsa kullanılan bir yöntemdir. [3]

Linux’ te güvenlik dosyaları kullanılarak sağlanabilir.

Güvenlik dosyaları: Linux’ te güvenlik, dosya sistemi ile sağlanır. Bu dosyalar  /etc/securty, /etc/hosts.allow, /etc/hosts.deny dosyalarıdır.

/etc/securty: Sisteme root kullanıcı tarafından telnet protokolü ile girilme isteği halinde /etc/securty dosyası okunur. Bu dosya içinde yer alan tty'lardan sisteme girme isteği kabul edilir.

/etc/hosts.allow ve /etc/hosts.deny konfigürasyon dosyaları, başka bir makineden kendi makinenize olan bağlantıları denetler. Bu iki dosya tcpd programının konfigürasyon dosyalarıdır. tcpd programı, inetd tarafından /etc/inetd.conf dosyasında tanımlanan FTP, telnet, gopher gibi   servislere cevap vermek amacıyla çağırılır.

Genel olarak tavsiye edilen ve sistem yöneticileri tarafından da sıkça kullanılan metot, /etc/hosts.deny dosyasından tüm servisleri kapatmak.[6]

2.3.3. Novell

En az 386 işlemci, 90MB kapasiteli bir hard disk, minimum 10MB ana belleğe ihtiyaç duyar. Netware, mevcut donanım ve yazılımdan maksimum yararlanarak farklı ortamlarda bilgisayar ağının kurulmasını ve kullanılmasını sağlar. C dili ile yazılmıştır. Bu özelliği ile Netware yazılımı taşınabilir (portable) bir programdır ve birçok işletimi sistemini destekler. Bunlar DOS, UNIX ve OS/2 işletim sistemleridir.

2.3.3.1. Açık protokol teknolojisi

Novell Netware işletim sisteminin açık protokol teknolojisi, ağ üzerinde çok sayıda iletişim protokolünün kullanımını sağlar. Bu olanak sayesinde Netware bilgisayar ağı, başka bilgisayar ağlarına da kolayca  bağlanabilmektedir. OSI modeline uyum göstermesini sağlamaktadır.

2.3.3.2. NetWare’de sistem ve bilgi güvenliği

İki şekilde sağlanmaktadır.

1- SFT (System Fault Tolerance): Üç farklı seviyede veri güvenliğini sağlamaktadır.

Read After Write Verification yöntemi ile diske bir bilgi yazıldığında, bu bilgi tekrar okunmakta ve bellekte bulunan değer ile karşılaştırılmaktadır. Hot Fix Redirection (Dynamic Bad Block Remaping) yönteminde; Read after write’ den sonra bir bloğun bozuk olduğu anlaşılır ise, bu bloğa bozuk işareti konarak, bilgi daha güvenli (hot fix) bir alana yazılır. TTS (Transaction Tracking System) ise veri tabanı dosyalarında herhangi bir nedenle oluşabilecek bir hatayı önlemektedir.

2- SMS (Storage Management Services): SMS, işletim sisteminden ve uyarlamalardan bağımsız olarak yedekleme  yapmak için hizmet verir.

2.3.3.3. NetWare’ de disk güvenliği

iki yöntem kullanılmaktadır. Bunlar:

1- Disk mirroring: Bu sistemde, veriler aynı özelliklere sahip iki ayrı diskte tutulmaktadır. Böylece birisinde oluşabilecek bozulmalara karşı diğer diskteki bilgiler kullanılmaktadır.

2- Disk duplexing: Bu sistem, kablo, sürücü denetleyicisi, adaptör ve sabit  disk olmak üzere disk ile ilgili tüm donanımları çift tutmaktadır.

NetWare işletim sistemi bir kullanıcıya bir dizinde belli haklar tanıyarak o dizinin ve içerdiği dosyaların kullanımını ve güvenliğini sağlar. Bir dizindeki kullanıcının bu haklarına vekil hakları denir Bir kullanıcının haklarının  düzenlenmesi çoğunlukla supervısor tarafından yapılır. Bu haklar okuma (read), yazma (write), açma (open) vb. haklardır.

Supervİsor, NetWare işletim sisteminin başta tanıdığı ve ağda bulunan en güçlü  kullanıcıdır. Supervisor, öncelikli olarak bütün haklara sahiptir ve sistemi kontrol etmek ve düzenlemek üzere çalışır.

Netware 5 ağ güvenliği için üç farklı mekanizma sunar:

Secure Authentication Services (SAS): Doğrulama servislerinin sonraki kuşağıdır. Kullanıcının SAS doğrulamasına bağlı olarak dosyalara ve NDS nesnelerine kontrollü erişimle, sunucu tabanlı kullanıcı uygulamaları sunar.

Public Key Infrastructure Services (PKIS): Bir Netware 5 sisteminde genel anahtar şifrelemesinin ve sayısal sertifikaların kullanılabilmesini sağlayan bir grup servistir. Bu servisler, bir yöneticinin NDS içindeki alanda bir sertifika idaresi kurabilmesini sağlar.

Hesap Takibi (Audit): Bu sistem, her kullanıcının ağ kaynaklarına ve yaptığı değişiklikleri izleme ve kaydetme yeteneği sunar. [8]

2.3.4. Microsoft NT

v   Çoklu ortam: İntel 386 ve üzeri işlemcileri destekler. Power PC gibi RISC (Reduced Instruction Set Computers) işlemcilerini destekler.

v   Çok görevlilik ve çok işlemlilik: Çok görevlilik (multitasking), çok sayıda uygulamanın aynı anda çalışmasıdır.

v   Güvenlik: Bir ağ yapısında güvenlik, o ağda bulunan bilgi kaynaklarının korunması ile sağlanır. Bellekte ve sabit diskte bulunan verilerin, belli kullanıcı hakları ve izinleri ile güvenliği sağlanır.

v   Farklı uygulamaları destekleme: Microsoft Windows NT işletim sistemi, diğer işletim sistemleri için yazılan uygulama gruplarını destekler. Bu uygulamalar; Ms-Dos, Win 16, Win 32, OS/2, POSIX.

v   Bütünleştirilmiş ağ olanağı: NT işletim sistemi, gerekli ağ sürücülerine network drivers ve protokollerine sahiptir. Bununla birlikte NT başka ağ yapılarını da desteklemektedir.

v   Gelişen teknolojileri kullanabilme: Microsoft Windows NT işletim sistemi, günümüzde hızla gelişen donanım olanaklarını kullanabilme yönünden gelişmiş özelliklere sahiptir.

v   Çoklu bağlanma olanakları: Windows NT İşletim Sistemi değişik bilgisayarlar arasında bağlantı sağlar. Bir çok protokolü destekler. Bunlar: TCP/IP, Netbeui, DLC, Apple Talk, Nwlink.

v   İstemci desteği: Windows NT işletim sistemi iş istasyonlarını destekler. MS-DOS, Windows, Wfw, NT Workstation, OS/2, Novell Netware ve Macintosh (NT Server sadece).

v   Dosya Sistemi : NT işletim sistemi, diğer işletim sistemlerinin yanısıra FAT, HPFS, NTFS ve CDFS dosya sistemlerini destekler.[1, 3]

2.3.4.1. Ağ güvenlik türleri

Fiziksel güvenlik: Her bilgisayarın fiziksel olarak güvende olması gerekmektedir. Ağ sunucularının konumuna karar vermek ve yetkisi olmayan kişilerin erişimini engellemek fiziksel güvenliği sağlayacaktır.

Kullanıcı güvenliği: Unix’te kullanıcı olarak tanım ve ait olunan bir grup vardır ( UID: User ID, GID:Grup ID ) Bu bilgi kullanıcıların yetkilerini ve networkle iletişimini düzenler.

Kullanıcı güvenliğinin iki önemli yönü vardır.

v   Kullanıcıların gerek duydukları kaynaklara erişimini kolaylaştırmak.

v   Kullanıcıları yavaşlatan gereksiz kaynakları ise kullanıcılardan uzak tutmak.

Unix’ te güvenlik düzeyi programlara ve komutlara göre sınırlandırılmıştır. Unix bu uygulama ile geliştiricilere avantaj sağlamaktadır. Ama kullanıcılar yetkilileri olmadığı halde bazı bilgilere ulaşabilmektedirler.

Dosya güvenliği: Dosya güvenliği sağlamanın iki yönü vardır; Dosya erişimini denetlemek, Dosya bütünlüğünü korumak

Hem veri hem de belge dosyaları yapılandırılmış biçimde veri içerir, ancak belge dosyaları genellikle insanlar tarafından okunabilirken, veri dosyaları bir program tarafından yorumlanmalıdır.

Windows NT Server hem klasör ve hem de dosya düzeyinde kullanıcı erişimini denetlemeye imkan sağlar. Böylece, bir klasöre tam erişimi olan biri, o klasördeki bir dosyaya erişemeyebilir veya bunun tam tersi olur. Ancak, bu sadece, NTFS dosya sistemi seçilmiş ise mümkün olabilir. Windows NTde izinler, herhangi bir dosyaya atanabilen özniteliklerin bileşimleridir. Kişisel dosya özniteliklerinden program dosyaları ve onları içeren klasörler hemen her zaman read (okuma) özniteliğine ayarlanmalıdır. Read erişimi, kullanıcıların kasıtlı veya kasıtsız olarak dosyaları silmesini yada virüs getirmesini önler.

Ayrıca, yetkilendirilmemiş erişim denemelerini önleyecek şekilde hassas ve gizli dosyaları denetlemek gerekir. [5]

2.3.4.2. Sisteme izinsiz girenlere karşı güvenlik

Sistemdeki tüm kullanıcıların iyi seçilmiş parolaları olması gerekir ve bu parolaların periyodik biçimde değiştirilmesi gerekir. Birinin bir parolayı yeniden kullanabilmesi için bir bekleme süresi elde edecek şekilde hesaplar ayarlanmalıdır. Hesaplar aynı zamanda girilecek yanlış parolalar sırasında kilitlenecek şekilde ayarlanmalıdır.

Ağların ve sunucuların fiziksel olarak güvenli olmaları gerekmektedir.

Yalnızca gereken en az sayıda dosya izni verilmelidir.

Kullanıcıların parolaları periyodik olarak değiştirilmeleri sağlanmalıdır.

Uzaktan kullanıcılar için ek bir güvenlik katmanı oluşturulmalıdır.

Merkezi yönetim modeli kullanılmalıdır. [1, 5]

3. İNTERNET BAĞLANTISI VE GÜVENLİK

3.1. TCP/IP Protokolü (Transmission Control Protocol/Internet Protocol)

TCP/IP'nin kökleri 1960'ların sonunda ve 1970'lerin başında İleri Araştırma Projeleri Ajansının (Advanced Research Projects Agency,ARPA) yürüttüğü paket anahtarlamalı ağ deneylerine kadar uzanır. TCP/IP'nin yaratılmasını sağlayan proje, ABD'deki bilgisayarların bir felaket anında da ayakta kalabilmesini, birbirleriyle iletişiminin devam etmesini amaçlıyordu. Bu nedenle ARPA geliştirdiği paket anahtarlamalı deneysel çalışmaları ilk olarak WAN (Wide Area Network)’lara uygulamaya başladı daha sonra geliştirilen bu sistemi LAN (Local Area Network) sistemlerine göre de adapte etmeye başladı. 1983 yıllarında ise TCP/IP protokolü artık bütün yerel ve genel ağlarla birlikte askeri çalışmalarında standardını teşkil etmektedir. [11-14]

TCP/IP Protokolü iki protokolü adreslemektedir.

Bunlar;

1- TCP(Transmission Control Protokol): Transfer kontrol protokolü anlamına da gelen bu protokol verinin paketler halinde nasıl birleştirildiğini tanımlayan, iletim denetim protokolüdür.

2- IP(İnternet Protocol): İnternet protokolü ise paketlerin, İnternet veya intranet'ler üzerindeki bilgisayarlar arasında yönlendirilme mekanizmasını tanımlar.

TCP/IP ile kurulan bir bilgisayar ağında bir bilgisayarı üç parametre ile tanımlarız.

v   Bilgisayarın ismi

v   IP adresi

v   MAC adresi (Media Access Control : Ortama Erişim Adresi)

Bilgisayarın ismi kullanıcı tarafından işletim sistemi yüklenirken verilir.

IP adresi ise 192.168.0.23 örnekte olduğu gibi 4 bölümden oluşan bir adrestir. her bir bölüm 0-255 e kadar arta bilir.[13, 16]

MAC adresi ağ kartına yerleştirilmiş bir hardware adresdir. Bu adres bir entegrede kayıtlıdır. 0030AEF-8E891 örneğinde olduğu gibi onaltılı düzende (hexdecimal) rakamlardan oluşur.

3.1.2. TCP/IP’ nin yapısı

Şekil 3.1.     TCP/IP’ nin yapısı

3.1.2.1. Fiziksel katman

Fiziksel katman için herhangi bir protokol tanımlanmamıştır. Bu katmanda ağ bağlantı cihazları, ethernet ve benzeri ağ protokolleri, kablolama alt yapısı ve repeaterlar (tekrarlayıcı) gibi ağın fiziksel yönü ile ilgili araçlar bulunur.

Şekil 3.2.     Fiziksel katmanda veri

3.1.2.2. Yönlendirme katmanı

IP protokolü:

Şekil 3.3.     IP başlığı içindeki alanlar

IP başlığı şu alanlardan oluşur.

Başlık uzunluğu: Datagram başlığının gerçek uzunluğunu gösterir. Başlık alanının kaç adet 32 bitlik sözcükten oluştuğunu gösterir.

Hizmet türü: Datagramın nasıl yönlendirileceğini belirler. Yönlendirmede yapılan yol seçiminde ve bağlantıda kullanılır.

Toplam uzunluk: Tüm IP paketinin uzunluğunu belirtir. Toplam uzunluk maximum 65535 bit olabilir.

Kimlik saptaması: Bu alan aynı kullanıcı mesajının farklı datagramlar içinde bulunması durumunu açıklayan kimlik bilgisi içerir.

Bayrak bitleri: Üç tane olan bayrak bitlerinden ilki (D biti) içinde bulunduğu datagramın kaç parçadan oluştuğunu belirtir. İkinci bayraksa, parçalanıp birçok datagram haline gönderilen verinin en son olduğunu belirtir. Üçüncüsü saklı tutulmuştur.   

Fragment kayıklığı: 8 byte’ lık birimler halinde fragmentin datagram içindeki konumun gösterir.

Yaşam süresi (TTL): Datagramın ağ üzerinde dolaşma süresini belirler. Verici tarafında yerleştirilen dolaşma değeri her düğümden geçerken azaltılır. Sıfıra ulaşırsa kaybolmuş olduğu varsayılarak datagram ağdan çıkarılır.

Protokol: Bir datagramın hangi üst katman protokolüne ait olduğunu belirtir.

Kontrol toplamı: Datagram başlığında bir bozulma olup olmadığını belirlemeye yarar. Her yönlendiricide bu alandaki değer kullanılarak datagramın bozulup bozulmadığı araştırılır.

Kaynak IP adresi: Gönderen yerin gerçek internet adresi.

Alıcı IP adresi: Alıcı tarafın internet adresini oluşturur.

Veri: Gönderilen bilgi topluluğunu içerir.

TCP başlığı: Bir üst katmandan gelen veriyi içerir. [1, 11, 14-15]

ICMP protokolü: ICMP (Internet Control Message Protocol). ICMP, hata mesajları ve bir takım kontrol mesajları için kullanılır. ICMP ile kontrol mesajları gönderilerek karşılığında gitti gitmedi bilgisini sağlar. ICMP’ye en iyi örnek PING komutu verilebilir.

ARP Protokolü: Arp (Address Resolution Protocol) IP adresi belli olan bir bilgisayarın MAC adresini bulmak için kullanılan bir protokoldür. MAC adresi aynı zamanda bilgisayarın Ethernet  adresidir. ARP IP protokolü değildir ve dolayısıyla ARP datagramları IP başlığına sahip değildir. [11, 15]

3.1.2.3. Taşıma (Ulaşım) katmanı

Ulaşım katmanın temel işlevi, hazırlanan veriyi alıp, ihtiyaç duyulduğunda küçük bileşenlere ayırıp ağ katmanına geçirerek, diğer uca bu parçaların doğru bir şekilde ulaştığına emin olmaktır. Normal şartlar altında, ulaşım katmanı, uygulama katmanı tarafından ihtiyaç duyulan her taşıma bağlantısı için bir sanal ağ bağlantısı oluşturur.

Ulaşım katmanı ayrıca uygulama katmanına sonuç olarak ağ kullanıcılarına ne tip servisler sunulacağına karar verir. [11, 14, 15]

TCP protokolü: TCP’nin temel işlevi, üst katmandan (uygulama katmanı) gelen bilginin segmentler haline dönüştürülmesi, iletişim ortamında kaybolan bilginin tekrar yollanması ve ayrı sıralar halinde gelebilen bilginin doğru sırada sıralanmasıdır. TCP protokolü verinin karşı tarafa güvenli ve bozulmamış bir şekilde ulaşmasının garantili bir şekilde ulaşması durumunda kullanılan bir protokoldür. TCP protokolünün yaptığı işleri üç madde halinde özetlemek gerekirse

1-   Bir üst katmandan gelen verinin uygun uzunlukta parçalara (segmentlere) bölünmesi,

2-   Herbir parçaya, alıcı kısımda aynı biçimde sıraya koyulabilmesi amacıyla sıra numarası verilmesi

3-  

Şekil 3.4.     TCP başlığı içindeki alanlar

TCP protokolünün başlık bilgisinin en önemlileri port numarası ve sıra numarasıdır.

Başlık içinde kullanılan alanların amaçları aşağıda açıklanmıştır.

Kaynak kapısı: Gönderici tarafın TCP portu.

Alıcı port no: Gönderilen veri paketinin alıcı tarafın TCP portu.

Sıra numarası: Gönderilen paketin sıra numarasını gösterir. Gönderilmeden önce daha küçük parçalara ayrılan verinin, alıcı kısımda yeniden aynı sırada elde edilmesinde kullanılır.

Onay numarası: İstenilen bir sonraki paketin numarasını ifade eder..

Veri uzunluğu: TCP segmentinin uzunluğu.

Bayraklar: Burada segment içeriğine dair bilgi bulunmaktadır.

Pencere: TCP penceresinde kalan yeri gösterir.

Kontrol toplamı: Başlık kısmının bozulup bozulmadığını gösterir. Bu sayı segment içindeki tüm oktetler toplanarak hesaplanır ve sonuç başlığın içine konur.

Acil veri göstergesi: Acil veri alıcının uygulama katmanında öncelikle değerlendirilmesi gereken veridir.

Veri: Değerlendirilmesi istenen verinin bölüm içindeki yerini işaret eder.

UDP protokolü: UDP (User Datagram Protocol) protokolü yukarıda anlatılan TCP protokolünün tersi hem bağlantısız hemde güvensiz bir iletim sağlayan protokoldür. UDP kullanılarak bir veri iletilecek ise veri paketi hazırlanır, yollayan kısmına kendi adresimiz, alıcı kısmına hedef bilgisayarın adresi yazılır ve yollanır. Bu veri paketi yerine ulaştı mı, ulaşmadı mı, yolda başına bir şey mi geldi, bilinemez. UDP datagramların belirli sıralara konmasının gerekli olmadığı uygulamalarda kullanılmak üzere dizayn edilmiştir. Ağ yazılımı bu UDP başlığını iletilecek bilginin başına koyar. Ardından UDP bu bilgiyi IP katmanına yollar. Aşağıdaki şekilde UDP protokolünün formatı görünmektedir.

Kaynak port: Gönderici tarafın kullandığı UDP portu

Hedef port: Karşı tarafın kullandığı UDP portu

Mesaj uzunluğu: UDP mesajının uzunluğu

Kontrol toplamı: Başlık kısmının bozulup bozulmadığını gösterir. [11, 12, 16]

3.1.2.4. Uygulama Katmanı

Uygulama katmanın işlevlerinden biri dosya transferidir. Değişik dosya sistemleri, değişik dosya isimlendirme tanımlamalarına, metin bilgisinin temsili için değişik metotlara sahiptir. Değişik dosya sistemlerinden dosya transferleri bu uyumsuzlukları ortadan kaldırmayı gerektirir. Bu iş, yine, elektronik posta, dizin taraması ve diğer özel ve genel amaçlı işlevlerde yapıldığı gibi uygulama katmanına aittir.

TCP/IP’nin kullanıldığı en önemli servislerden birisi elektronik postadır. E- posta servisi için bir uygulama protokolü belirlenmiştir (SMTP). Bu protokol e-mail’in bir bilgisayardan bir başka bilgisayara nasıl iletileceğini belirler. Yani e- postayı gönderen ve alan kişinin adreslerinin belirlenmesi, mektup içeriğinin hazırlanması vs. gibi. Ancak e-posta servisi bu mektubun bilgisayarlar arasında nasıl iletileceği ile ilgilenmez, iki bilgisayar arasında bir iletişimin olduğunu varsayarak mektubun yollanması görevini TCP ve IP katmanlarına bırakır. [1,11,15]

3.1.3. IP adresleme

IP adresi, herhangi bir bilgisayarı gösteren 32 bitlik bir numaradır. TCP/IP protokolünü kullanan bir bilgisayarın ağında her bilgisayarda bir IP adresi olmalıdır.

IP adresleri 32 bitten oluşur.

10000011 01101011 00000001 00001100 (ikili düzen)

131.107.1.12 (onluk düzen)

Bu ayrımların her birine oktet denir. Buna göre yukarıda ayrı dört oktet var.

IP adresleri sınıflara ayrılmıştır. A,B yada C sınıfı gibi toplam 5 sınıf vardır. bunlardan D,E özel sınıf adreslerdir. Bizim tarafımızdan kullanılamaz.

0-126 arası A sınıfı adresdir.

128-191 arası B sınıfı adresdir.

192-223 arasında olanlar ise C sınıfı adreslerdir.

Özel adresler:

Şekil 3.6.     IP adres sınıfları

223'ün üstü D,E sınıfıdır onlardan bizim tarafımızdan verilemez. [1,11,13,15,16]

3.1.3.1. Subnet maskesi (Subnet mask)

Bir bilgisayar yalnızca kendisiyle aynı ağda bulunan bir bilgisayarla doğrudan bağlantıya geçer. Kendi ağımızda olmayan bir bilgisayarla da dolaylı iletişime geçebiliriz IP adreslerinin bir bölümü ağı, bir bölümü ise bilgisayarın o ağ içindeki adresini tanımlar.

Bir bilgisayar, IP adresinin hangi bölümünün ağı tanımladığını, hangi bölümünün ise bilgisayarı tanımladığını bilmek zorundadır. Bunun için subnet mask bilgisi kullanılır. Bilgisayarlar ağ tanımlayıcılarını bulmak için subnet maskesinin kullanımı şu şekildedir. IP adreslerini subnet maskeleri ile mantıksal bir işlemden geçirerek kullanırlar. Bu işlem VE (AND) işlemidir.

Ve işlemi 0 ve 1 değerini alabilecek iki değişken var. Bu değişkenlere X ve Y adları verildiğinde iki değer alabilecek iki değişkenle toplam dört ayrı kombinasyon elde edilir. Bu kombinasyonlar aşağıdaki gibidir.

Tablo 3.1. X ve Y değişkenlerinin durumu