Network’e Giriş

Network ‘e yeni başlayanlar için ilk anda nerede ne olup bittiğini anlamak çok zor olabiliyor. Zira birçok farklı iş için özelleştirilmiş standartlar, protokoller, donanımlar ve yazılımlar var. Öncelikle kısaca standartlardan bahsetmek gerekirse;

Ağ sistemlerini öğrenme sürecinde olan bir kişinin, iki nokta(ağ cihazı) arasında gerçekleşen iletişim kuralları dizisi hakkında fikir sahibi olması yararlı olacaktır. Bu iletişim kuralları dizisi OSI, TCP/IP gibi modellerde gösterilmiş ve standartları belirlenmiştir. Uluslar Arası Organizasyonlar tarafından belirlenen bu standartlar sayesinde X marka bilgisayar, Y marka switch, Z marka router veya T marka Güvenlik duvarı aynı network’te sorunsuz iletişim kurabilmektedir. Bu üç standarttan en kapsayıcı ve en gelişmiş olanı OSI (Open system interconnect) modeldir. OSI modelinde 7 katman bulunurken daha basitleştirilmiş hali olan TCP/IP’nin güncel modelinde 5 katman bulunmaktadır. Aşağıdaki tabloda bu modellerin katmanlarını, hangi katmanda hangi cihazların çalıştığını ve o katmanda bulunan protokolleri/standartları görebilirsiniz.

Network Katmanları

[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]

Yukarıdaki tabloda katmanlarda bulunan standartlar/protokoller’e verilen örnekler çoğaltılabilir. OSI katman 3’te (Ağ katmanı) çalışan, yani routing, NAT vb. işlemleri yapabilen switchler de mevcuttur fakat konuyu şimdilik dağıtmaya gerek yok. OSI modeli üzerine kalın kitaplar yazılabilen bir konu, o yüzden ilk başlarda tam olarak bu modeli kavramamız mümkün olmayabilir.

Yazının devamında aşağıdaki topolojide gördüğünüz ağ sistemlerindeki donanımsal öğelere tek tek değinip, bu cihazların yaptıkları işleri yüzeysel olarak anlatmaya çalışacağım.

Yukarıdaki topoloji sadece bir örnektir. Elinizdeki network cihazlarının yeteneklerine ve kapasitelerine göre onlarca farklı topoloji kurabilirsiniz. Örneğin: Eğer güvenlik duvarınızda fiber portlarınız mevcutsa metro switch kullanmadan ISP’nin sağladığı kuruluşa gelen fiber optik kabloyu güvenlik duvarı üzerinde sonlandırıp metro switchi aradan kaldırabilirsiniz. Ayrıca yukarıdaki topolojide access tipi (internete çıkış tipi) metro internete alternatif olarak: Radio Link, 3G/4G, DSL vb tiplerde olabilir. Yukarıdaki şemada cihazların birbiriyle olan temel bağlantıları görünmektedir. Bu bağlantıların haricinde cihaz yönetimleri vb. ihtiyaçlar için için ekstra fiziksel bağlantılar mutlaka olacaktır. Resmi ve anlatımı basitleştirmek için bu bağlantılar gösterilmemiştir.

Network ‘te Donanımsal Öğeler

Metro Switch

ISP’ye aittir. Kuruluşa internetin ilk girdiği noktadır. Varsa, kuruluşun MPLS bağlantıları da yine bu switchte sonlandırılır. *ISP: Internet Service Provider (Superonline, Türk Telekom gibi)

Güvenlik Duvarı

Kurulacak topolojiye bağlı olmakla birlikte, güvenlik duvarları sanal ağlar (VLAN) arasında & iç network ve dış network (internet) arasında erişim kontrollerini yapan cihazdır. Ürün yeteneklerine bağlı olmakla birlikte port kontrolü, antivirüs kontrolü, spam mail kontrolü, zafiyet koruması, web (url) filtreleme, uygulama kontrolü, dns filtreleme vb. güvenlik kontrollerini yapabilir. Neredeyse tüm güvenlik duvarlarının IPsec VPN, SSL VPN yapma yetenekleri vardır. Bu özelliklerin tümüne sahip güvenlik duvarları UTM (unified treat management) olarak adlandırılır.

En çok bilinen ve kullanılan kurumsal güvenlik duvarları Fortigate, Palo Alto ve Check Pointtir.

Omurga Anahtar

Sistemdeki tüm ana cihazların bağlantı noktasıdır. Son kullanıcıya erişim sağlayan kenar anahtarların, sunucuların toplandığı noktadır. Modüllerden oluşan, ihtiyaca göre port sayıları artırılabilen şaseler kurumsal networklerde en çok tercih edilen tiplerdir. Paket iletim kapasiteleri yüksektir.

Tüm trafiği incelemek için konumlandırılan APT cihazları genellikle omurga anahtar üzerinden sisteme dahil edilerek, mirror yardımıyla ağdaki tüm trafiği görebilmesi sağlanır.

Yük Dengeleme Cihazı

Temel olarak bu cihazlar kuruluşun verdiği servisleri (web sitesi, web uygulaması vb.) iç ağda farklı sunuculara yönlendirerek hem sunucuların yüklerini azaltır, hem son kullanıcılara daha hızlı servisler sağlar. İçerik yönlendirme (content switching) ve lisanslanırsa Web Application Firewall (WAF) yapabilirler.

Piayasada en bilinen yük dengeleme cihazları Citrix Netscaler ve F5’tir.

Kenar Anahtar

Son kullanıcıya, Access Pointlere, IP kameralara, yazıcılara, kapı geçiş sistemleri vb. cihazlara ağ erişimi sağlayan cihazlardır. Eğer sistemde Microsoft NPS veya dinamik vlan ataması yapan bir NAC yok ise, son uçtaki cihazların VLANların manuel olarak ayarlandığı yerdir. İlk cümlede belirtilen uçtaki cihazların tamamının portları için VLANlar “Access” veya “untagged” olarak tanımlanır.

Network alanında çalışanların & eğitim alanların genelde ilk dokunduğu cihazlar olan kenar anahtarlar, iç ağda alınması gereken güvenlik önlemlerinin en temelinde bulunur. 802.1x, DHCP snooping, ARP inspection gibi güvenlik önlemlerinin alındığı noktadır.

[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]

Sunucular

Sunuculara VMware, Hyper-v,KVM gibi sanallaştırma yönetim ortamları kurulur. Domain yönetimi için gereken yazılımlar (Active Directory, Open LDAP), DNS, DHCP, NTP, yedekleme, loglama, web servisleri vb. ihtiyaçlar için kullanılması gereken yazılımların kurulabileceği işletim sistemlerinin barındırıldığı cihazlardır.

Veri Depolama Üniteleri

Sunucularda çalışan işletim sistemlerinin ihtiyaç duyduğu depolama alanı gereksinimlerini karşılayan cihazlardır. Çeşitli konfigürasyonlar (RAID) ile veri kayıplarından kaçınmak veya minimize etmek için ayarlanırlar.

 SAN Switch

Sunucu ve Depolama üniteleri arasındaki veri transferlerinin hızlı yapılabilmesi için özelleştirilmiş anahtarlardır. SAN (Storage area network)  switchler sayesinde sunucu migration, yedek alma gibi hızla yapılması gereken ve yüksek paket boyutlarıyla yüksek trafik oluşturan işlemler çok düşük gecikmeler ile yapılır.

Yukarıda bahsedilen ağ cihazlarında kullanılan temel bazı protokollerin basitçe tanımları aşağıdaki gibidir,

Network’te Temel Protokoller

ARP: Aynı LAN’daki (VLAN’daki) cihazların IP adresini bildikleri bir cihazın mac adresini öğrenmeleri için kullanılan protokoldür. Broadcast bir pakettir. Aşağıdaki ekran görüntüsü wireshark paket yakalama programı ile elde edilmiş bir arp request paketinin anlaşılır hale getirilmiş halidir.

DHCP:Ağdaki cihazların otomatik IP alabilmesi için oluşturulmuş protokoldür. DHCP server: IP dağıtımını ve kontrolünü yapar. Yukarıdaki topolojide gösterilen kenar anahtar, omurga anahtar ve güvenlik duvarı DHCP server olarak ayarlanabilirler ancak daha çok uygulanan & tercih edilen ise sunucuda bir sanal makinaya kurulan DHCP serverdır. Microsoft Server veya birçok Linux işletim sistemleri DHCP server olarak ayarlanabilir. Aşağıda yine wireshark ile elde edilmiş bir DHCP req paketini görebilirsiniz. DHCP req paketinin 255.255.255.255 (Broadcast) adresine gönderildiğine dikkat edin.

DNS:Domain adından IP adresi çözümlemesi için kullanılan protokoldür. Microsoft Server veya birçok Linux işletim sistemleri DNS server olarak ayarlanabilir. Aşağıda yine wireshark ile elde edilmiş bir DNS query paketini görebilirsiniz. İkinci görselde ise bu DNS isteğine DNS serverin verdiği yanıtı görebilirsiniz.

Genelde kullanılan protokole bağlı olan ve ağ cihazlar arasındaki iletişimde kullanılan IP paketleri aşağıdaki gibi sınıflandırılabilir;

Hedef’e göre IP Paket Tipleri

Unicast: İki cihaz & iki kullanıcı, kısaca iki nokta arasındaki direkt iletişimde kullanılan paketler. (ör: HTTPS,DNS)

Multicast: Tek cihazdan birçok noktaya aynı anda, aynı içerikli gönderilebilen paketler.

Broadcast: Aynı LAN’danki tüm cihazlara gönderilen paketler. (ör: ARP, DHCP)

Tüm bunlardan bahsettikten sonra genel çerçevede ağ iletişimine zaman dizinsel bakış şu şekilde özetlenebilir:

[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]

Bir son kullanıcı network’e ilk dahil olduğu andan Google’a gidene kadar neler gerçekleşir?

Yukarıdaki topolojide gösterilmiş sistemlerin var ve çalışır durumda olduğu bir ağa bilgisayarımızı takıyoruz. Ağda haberleşebilmek için ihtiyacımız olan şey bir IP bu yüzden ilk olarak PC’miz ortamda bir DHCP sunucusundan otomatik olarak IP almaya çalışır (varsayılan ayarlarda). Bilgisayarın takılı olduğu kenar anahtardaki port hangi VLANa atanmışsa o VLANdaki tüm cihazlara iletilecek olan bir DHCP Discover (broadcast) paketi gönderilir. (Genellikle) Omurga anahtarda, VLAN konfigürasyonları altında “ip helper address” ayarları önceden yapılmış ve ip helper address olarak sunucuda kurulu olan DHCP sunucunun IP adresi girilmiştir. Bu ayarlar sayesinde omurga anahtar (DHCP relay olarak) kendisine ulaşan DHCP discover paketlerini DHCP servera iletir, gelen DHCP offer, giden DHCP request ve yine gelen DHCP ack paketleri sonucunda DHCP server bilgisayara IP adresi, subnet mask, varsayılan ağ geçidi bilgisi ve dns sunucusu bilgilerini iletir.

Artık IP adresimiz var www.google.com’a gitmek istiyoruz. Tarayıcıya www.google.com yazıp entera bastığımız anda bilgisayarımız DNS sunucusuna bir istekte bulunup, Google.com’un IP adresinin ne olduğunu sorguluyor. DNS sunucusu gerekli çözümlemeyi yapıp Google’nin IP adres bilgisini kullanıcı bilgisayarına gönderiyor. Bilgisayar tarafından Google ile iletişim kurmak için oluşturulan IP paketinin (unicast) hedef ip adresi kısmına öğrenilen google IP’si yazılıyor ve paket oluşunca varsayılan ağ geçidine gönderiliyor.  Bu paket önce kenar anahtara(katman 2), daha sonra omurga anahtara(katman 2), sonra güvenlik duvarına(katman 3) iletiliyor ve son olarak internet bulutuna oradan google’a ulaşıyor.

**Yazıda cihazları temsil eden semboller standart gösterime uyumsuz olabilir.

***Ref: Bilgisayar Ağlarında Saldırı ve Savunma , Gökhan USTA