VOIP Güvenlik
Veri güvenliği sağlama da üçüncü kişiler içeriği okuyamaz. Fakat güvenlik bununla kısıtlı değildir. Güvenliğin alt ağlar açısından da sağlanması gerekir yani alt ağda hangi veri gezecek bu tanımlanır. Ağ içinde gezecek olan bilgi yığını fiziksel olarak filtrelenir.
DAT: 80’li yıllarda internetin gücüdür. Güvenlik sorunları ile karşılaşmıştır. SMTP bir açıktan yararlanarak tüm sun sistemine zarar verdi. Birçok sistem smtp’ye ihtiyaç duymuyordu. Önlem olarak ya smtp servislerini kapatalım ya da bir şekilde ağların içine smtp trafiği girmesin denildi. Bu çözüm bir ağın dış dünyadan tamamen soyut yapısını, dış dünyayla haberleşmesini kontrol edip bilginin belli kurallar çerçevesinde dışarı aktarılması ya da içeri alınması gibi izinleri verecek bir katman tanımlanır. Buna firewall(ateş duvarı) denir.
Firewall: ağın çıkış noktasında bulunur. Yönlendiricinin hemen arkasında. Tüm ağ trafiğini yönlendirecek, gelen giden veriyi inceleyecek, kurallara göre geçmesine izin verecek ya da vermeyecek. Firewall 3 nesilde incelenir:
İlk nesil: 86 SMTP problemi için geliştirilmiştir. Ağımızı dış dünyadan istenmeyen servislerden soyutlarız.
4. katman yazılım adreslemesi yapar. 4. Katmanda bilgiyi inceleyebilir ve kurallar tanımlayabiliriz. Örneğini; 80 nolu portun isteklerini reddet. İlk nesil firewall’lar yazılımlarla ilgili problemleri çözmeye çalışmıştır.
Bir süre sonra dağıtık servisten alıkoyma servisleri ile ilgili problemler ortaya çıkmıştır.
** servisten alıkoyma: bir bilgisayara sürekli istek yapıp o bilgisayarı yormak. Birden fazla kullanıcının bunu yapmasına dağıtık servisten alıkoyma denir.
İkinci nesil: yukarıda bahsedilen durum için firewall çözüm olarak görülmüş. 4. Katmandaki firewallara ek oalrak 3. Katmanda da firewallar işlemler yapmaya başlamış. Tanımlanan kurallar şu şekilde olabilir; dış dünyadan gelen şu ip adresli bilgisayarın paketlerine izin verme. Burada ip adresleri filtrelenmeye başlamıştır.
Üçüncü nesil: yukarıda birinci ve ikinci nesilde bahsedilen güvenlik önlemleri yetersiz kalabilir. Örneğin bir bilgisayar sürekli farklı ipler ile çok fazla sayıda istek yapabilir. Bu gibi durumlarda bu işin çözümü 7. Katmandadır. Veriyi filtreleme. Burada da kurallar tanımlanır.örneğin; Dışarıdan içeri gelen veri sayısı 1000’i aşıyorsa ve gelen istek hep aynıysa gelen veriyi kim olursa olsun engelle.
** buradaki başka bir işlevsellik; artık zararlı yazılımlar ağlar üzerinden yayılmaya başladı. Fakat 7. Katmanda içeriği filtreleyebiliriz. Mesela; yazılımları virüs taramasından geçiririz.
**Peki ağ içinde güvenlik nasıl sağlancak?Yani ağ içerisindeki bir bilgisayar diğer bilgisayarlardan nasıl korunacak? Burada farklı çözüm yolları vardır. firewall yine filtreleme yapar ama ağa değil bilgisayara yerleştireceğiz. Kurallar bilgisayar üzerinde çalışır. Buna istemci türü ateş duvarı(firewall) denir. İstemci türü firewall, bilgi yığınını daha alt katmanda 3. Katmandan yukarı çıkmadan irdeler.
Bir firewall nasıl yapılandırılır?
Firewall’da ağı ikiye ayırmak gerekmektedir. Ethernet kullanılır. İki tane Ethernet kartı kullanırız. Bu Ethernet kartları ile iç dünya ile dış dünyayı birbirinden ayırırız.
Uygulama:
• Sanal makine kapalı iken
• Virtual machine setting açıp, Add denir
• 2 tane network adapter tanımlıyoruz
• Start sanal makine diyoruz.
• Kerio’yu bilgisayara masaüsütüne aldı
• Yerel ağ bağlantımız 2 tanedir;
1’si iç dünya(ağ)
2’si dış dünya (ağ)diyoruz.
• Kerio winroute Firewall 6.6 ‘nın tam kurulumunu yüklüyoruz.
• yönetim konsolu için şifre tanımlanır.
• kurulum tamamlandı.
• sağ al köşede oluşan simgeye çift tıklıyoruz.
• Firewall internete nasıl bağlandığını soruyor.
• Eğer internete bağlanmak için 2 tane yol varsa birinde sorun varsa diğerinden otomatik olarak bağlanılır..
• Multi çoklu bağlantı içindir.
• Bizim dışarı bağlanmak için tek bağlantımız var 1. Seçeneği seçiyoruz.
• Dış ağ diyoruz.
• Trafic Policy: New kısmına Messenger diyoruz.
• Source kısmına Add diyoruz host diyoruz.
• Ip adresi tanımlıyoruz 10.11.12.13 diyoruz.
• Service kısmına Windows Messenger kısmını seçiyoruz.
• Action kısmına DROP diyoruz.
• son olarak apply diyoruz.
Sayfayı açıyoruz.
User kısmına Add User diyoruz.
**firewall hem iç ağa hem de dış ağa özel bir yapılanmadır. İnternete bağlanmak için dış ağ kullanılır. Firewall ile kullanıcı ve gruplar tanımlanabilir. Firewall’u sadece kurallar kümesi olarak düşünmemeliyiz, kullanıcılara hizmet sunabilmek de, güvenlik de önemlidir.
Falover: internete bağlantı için birden fazla yol varsa fakat biz hep aynı yolu kullanıyorsak, kullandığımız yolsa sorun olursa başka bir yol kullanılır.
Traffic load balancing: ağdaki bilgisayarlar için firewall yönlendirici gibi davranır.
Bantwidth limiter: download ve upload’a kısıtlama getirilir.bandwidth’in belirli bir ip’ye, belirli saatlerde geçerli olması sağlanabilir.kullanıcı bazında kısıtlama da getirilebilir . örneğin; her kullanıcı günde 8gb veri indirebilir.
content filting(içerik filtreleme)
Traffic policy: 3. Ve 4. Katmandadır. http, ftp ve zararlı yazılımlara karşı içerik filtrelenir.
Antivirüs: firewall yazılımı ağ içine giren trafiği virüs taramasından geçirir.
**büyük boyutlu dosyaları firewall taramasından geçirebilmek için, ilk önce dosyayı segmentlere ayırmalı, daha sonra tekrar birleştirip kullanıcıya göndermelidir. Bu sorun teşkil edebilir.
http policy: filtreleme en çok http için kullanılır. url grubu için kurallar tanımlayabiliriz.
Belirli bir url bloğunun engellenmesi örneği;
URL den www.facebook engelleyebiliriz.
url begin with *.facebook.* ( içinde tüm facebook geçen url blokları engellenir).

** web siteleri tek tek gruplandırılıp, seçilen grubun engellenmesi sağlanabilir.(iş, eğitim vs.)
** iç ağ ile dış ağ arasında tüm veri yığınını elden geçirdiği için NAT gibi çalışır.
Whitelist: tanımladığımız sunucunun adresi iis tarafından kontrol edilebilir.
Set IIS: web sayfalarını kategori yapar.
Advanced: Bu kuralı belli bir zaman aralığında gösterilebiliriz.
Başka bir url adresine yönlendirme sağlayabiliriz.
DNS forwarder: sunucu bazında host dosyası tutmaya izin verir. Sadece firewall üzerinde yapılacak bir tanımlama ile tüm ağ dış dünyaya erişemez ya da erişebilir.

Content Rules:
Cache: Ftp için ön bellekleme gerçekleştirebiliriz.
Proxy Server: Firewall NAT gibi çalışır.
Forbidden words: Küfürlü içeriğin kullanıcıya iletimi engellenebilir.Yasaklı kelimler.
ISS: puan verip belli bir değere ulaştığında engelleyebiliriz.
Accounting: hesaplar
Advanced Options: Ağ aygıtlarının birbiriyle özel bir şey yapmadan haberleşmesini sağlar.
Point to point: noktadan noktaya bağlantıyı engellemek içindir.
Ağ üzerine kaynak paylaşımı
Kaynak paylaşımı; Dosyaların ağ üzerinde diğer kullanıcılara sunulması ve donanımların ağ üzerinden diğer bilgisayarlara sunulmasıdır.
SMB: UNİX sistemlerinde kullanılan temel kaynak paylaşımıdır.
NFS: sun firması geliştirmiştir.
Bu iki protokol temel protokollerdir.
SMB: IBM tarafından geliştirilen bir protokol kümesi üzerinde çalışır. Bu protokol kümesine NETBEUI denir.
NETBEUI, bilgisayarlara adresleme yapmak için 8 bitlik yapı tanımlar ve alt ağ tanımlamaz. Bu protokolde yönlendirme yoktur. ağda 2 üzeri 8 tane bilgisayar bulunabilir.bilgisayarların 15 karakter uzunluğunda ASCII karakter kümesi ile tanımlanmış isimleri bulunur. “\\ bilgisayara adı” şeklinde isimler yazılır.
SMB, protokolü ile bir bilgisayarın kaynaklarına direk erişim söz konusu değildir. Sanal ağaç tanımlanır. Temel yetkilendirmeler yapılır. Okuma, yazma vs.
SMB’nin TCP/ip üzerinden kullanımında sıkıntılarla karşılaşılmıştır. Bu sıkıntıları aşmak için tünelleme yapılır.
*tünelleme: SMB yapısını kullanan bilgisayarlar farklı ağlarda ise ve birbirleriyle haberleşmede NETBEUI kullanıyorsak tünelleme yapılabilir. ağınız dışında bir bilgisayar ile NetBEUI dışında haberleşemiyorsun. Bu nedenle ıp paketleri kullanılmış.
* *NetBEUI , SMB’nin işlevsellini artırabilmek için sana yapıdadır.
Yeni bir protokol; CIFS
CIFS: tek bir protokol üzerinden yapılandırma değildir. Bant genişliği artışı sağlandı. IBM tarafından paketlenmiş bir protokol kümesidir.
** SMB için karakutu uygulamaları vardır. karakutu uygulamaları patentli programlar için kullanılır. Karakutu uygulamalarında, iki grup bulunmaktadır. Birinci grup asıl programdan matematiksel bir sonuç çıkarır, diğer grup ise o sonuca uygun bir program yazar.anal
** ağda bulunan bir bilgisayarın, diğer bilgisayarların kaynaklarına erişbebilmesi için bir yetkiye tabi tutulmasını bekleriz. Bu yetki kullanıcı adı ve şifre şeklinde tanımlanır. Ağda 30 bilgisayar olduğunu düşünürsek, 30 tane kullanıcı adı ve 30 tane de şifre bulunmaktadır. Her bilgisayarın kendi mekanizmasına sahip olduğu ağlarda yönetilme problemi vardır. merkezi bir denetim mekanizmasına ihtiyaç vardır.
DC: tüm ağı kontrol eden bir bilgisayar tanımlanır ve tüm bilgisayarların yönetim yetkisi bu bilgisayara verilir. DC istemcilerden tüm yetkiyi alır.
Bilgisayarlar birbirinden kaynak kullanırken yetkiler DC üzerinde tanımlı ve kaynak kullanma yetkisini dc verir. Bir bilgisayar başka bir bilgisayardan kaynak isterken DC’ye başvurur, DC sertifika üretir ve istemci sunucudan kaynak isterken bu sertifikayı kullanır. Diğer bilgisayarların kaynaklarını kullanabilmek için jeton gibi düşünebiliriz.
** DNS sisteminde internete bağlı herhangi bir noktadan kaynak kullanılabilir. Örneğin; İstanbul’dan Ankara’da bizim DC’ye bağlı noktalar arasında iletişim kurulabilir.
Active Direction Bir sistemi ya da ağı etki alanı bilmek için bir DC ihtiyaç vardır. Server 2003 de yönetim konsolu rol ekle/kaldır dan ekleyebiliriz. Etki alanı merkezi bir yapıdır.
Uygulama:
• Active director: Rol/ekle kaldır denir.
• Etki alanı denetleyici türü
• Bizim etki alanı olmadığımızda yeni diyoruz. Bu ağacı yeni tanımlı yeni ormanda etki alanı oluşturacağız.
• Adı: abc.com
• Etki alanın NetBIOS adını en fazla 15 abc deyip ileri denir
• Sonraki adım dosyaları nerde tutulacak ileri denir
• DNS desteğini doğrulama ileri denir
• İzinler ileri denir
• Geri yükleme modu: Bu parola aynı zamanda admistrator parolası olacaktır.
• Ağa mesajları yayımlar.
• Bilgisayar yeniden açılacak. Yönet denir..
• Userdan yeni kullanıcı oluşturduk sonra çift tıklayıp özelliklerine girdik.
• Daha sonra siteleri ve hizmetleri girdi.
• Başlat/yönetimsel araçlar/etki alanı güvenlik ayarları/buradan parola giriş en kısa en uzun karakter sayısını belirleriz.
WINS: Microsoft çıkarmıştır. Liste sorununun çözümü için geliştirilmiştir. WINS, kendisine bildirilen isimleri tutar, belli aralılarla bu listeyi kontrol eder ve isteyenlere listeyi gönderir. Sadece iste tutan servistir. Ağdaki kullanıcıların listesi istenirken WINS’e başvurulur.
Kerberos: DNS sistemini kullanır. Kerberos sertifikalara dayalıdır. sertifikaların geçerlilik süresi vardır. Bu da probleme yol açar. Bu sistemde bilgisayarların saatlerinin birbirine yakın olması sağlanır.

KERBEROS :
Kerberos, bir bilgisayar ağı kimlik doğrulama protokolünün adıdır. Güvenli olmayan bir ağ içinde kullanıcıların kimliklerini güvenli şekilde ispat etmelerini sağlayan, MIT (Massachusetts Institute of Technology - Massachusetts Teknoloji Enstitüsü) tarafından geliştirilmiş yazılımdır. Kerberos mesajın gizlice dinlenmesini ve bazı saldırıları engelleyerek veri bütünlüğü sağlar. Tasarımcıları öncelikle hem kullanıcı hem de sunucunun birbirinin kimliğini kontrol ettiği istemci-sunucu modelini amaçladılar. Kerberos simetrik anahtarla şifreleme yöntemini kullanır.