Burada görüldüğü üzere kırmızı kare içersine aldığım geçerlilik süresi 02.03.2010 10:59 bu tarihten sonra Windows 7 sisteminiz 2 saatte bir kapanmaya başlayacaktır.  “şeytan ayrıntıda gizlidir.” Sözü burada geçerlidir kare içersinde gördüğümüz tarihten sonra kendini 2 saatte bir yeniden başlatacağı için bizde tarih ayarlarını geri alıyoruz bunun için sağ altta Windows 7 saatine tıklıyoruz.

Tarihi geri almamız için “Tarih ve saat ayarlarını değiştir…” seçiyoruz.

Sol resimde görülen” tarih ve saati değiştir” giriş yaptıktan sonra sağda görülen resim gibi saat ve tarih ayarları gelecek buradan sorun yaşamamak için çeşitli internet ve ya MSN servislerinde sadece bir ay geri alın winver  deki tarihten itibaren böylece 1 ay boyunca sorun yaşamayacak ve bunu ayda bir yapmanız yeterli olacaktır. Çok eski bir tarihe alırsanız. Bazı servislerde sorun yaşarsınız gerekli ayarları yaptıktan sonra tamam demeniz yeterli olacaktır.

JoKer

http://www.binaryshield.com

Benim şu anda kullandığım AP, 1130 serisi. Bu AP genelde ofis ortamları için kullanıma uygun, şık görünüşlü bir cihaz. Üzerinde 3.0 DBI omnidirectional entegre anten bulunmaktadır.  802.11af protokolünü destekler; (PoE) ethernetten enerji verilebilir.

Tüm Cisco AP lerde varsayılan password olarak; user: cisco pass: Cisco olarak gelir ve dhcp den ip alır.

AP ‘ nin ip sini yazdığımızdaki gelen ekran görüntüsü. Buradan Logları, Interface durumlarını kontrol edebilirsiniz.

Express setup kısmından hostname ve IP değiştirilebilir ve AP ‘ nin rolünü atayabilirsiniz. Express Security kısmında ise SSID oluşturabilir. Buradan WPA-PSK ayarlarını yapamıyoruz ben ilk önce wpa ayarlarını yapıp daha sonra SSID oluşturacağım.

Bu ayarları oluşturmadan önce şifreleme algoritmaları hakkında genel bir bilgi vermek isterim.

WEP (Wired Equivalent Privacy) IEEE 802.11 tarafından Eylül 1999 da onaylandı. 2001 senesi başlarında WEP’ in kullandığı algoritmada ciddi güvenlik açıkları tespit edildi ve saniyeler içinde kırılabiliyor hale geldi. Günümüzde WEP kullanmak, Wireless ‘ tarafında şifre koymamak ile eşdeğerdir. Bu güvenlik açıkları tespit edildikten sonra IEEE 802.11i (WPA ve WPA2) yi geliştirdi. 2003 yılında WPA (Wi-Fi Protected Access), WEP in yerini aldı. Bir sene sonra  WPA2 geliştirildi. WPA2 ilk çıktığında donamımsal upgrade gerektiriyordu. İlk başlarda çok yaygın olarak WPA2 kullanılamadı fakat günümüzde artık her wireless cihazın ve kartların wpa2 desteği var.  PSK (Preshared key) kullanılarak en güvenli yapı WPA2 dir. Eğer enterprise tarafında AP ler kullanılıyorsa 802.1x tarafına yönelinebilir, zira günümüzde WPA da Rainbow Table lar kullanılarak kırılabiliyor.  Eğer komplike ve uzun bir parola (63 Karakter gibi) belirlenirse, hacking süresi günler hatta bazen aylar mertebesine çıkabiliyor.

Biz bunları bildiğimiz için WPA2 kullanacağız.

WPA için kullanacağımız algoritmayı seçiyoruz. AES, WPA2 de desteklenir. TKIP ise WPA da. Apply deyip kaydediyoruz.

SSID kısmında isim yazıp hangi interface e atayacağımızı belirliyoruz. Biz EMEA bölgesindeyiz ve ETSI standartlarını kullanırız. Bu standartlara göre 802.11a nın ülkemizde kullanımı yasal değildir.

Sayfanın altına gidip  Key Management ayarlıyoruz. Burada Mandatory ve WPA yı seçiyoruz. İsterseniz sadece WPA2 yi aktif kılabilirsiniz. WPA yı seçerseniz, client ın wireless adaptörü wpa2 desteği var ise wpa2 olarak bağlanır. Yoksa WPAv1 olarak bağlanır. En güçlü algoritma her zaman önceliklidir.

Bu ayarları seçtikten sonra apply ediyoruz.

Daha sonra sayfanın el altına Infrastructure SSID ayarlarını yapıyoruz. SSID miz beacon paketlerinde brodcast olacaktır. SSID yi broadcast etmemek artık çok güvenli bir uygulama değil. Birtakım tool lar sayesinde artık çok rahatlıkla SSID broadcast edilmese bile görülebiliyor.

Apply edip, ayarlarımızı kaydediyoruz.

Fabrika ayarlarında cihazın Radio Interface leri kapalı gelir. Radio0 interface i 802.11b/g yi, Radio1 interface i  802.11a yı temsil eder. Network interfaces menüsünden 802.11g ye gelip interface i enable ediyoruz.

Role In the Network: Burada bazı seçenekler görüyorsunuz.  Biz Access point olarak seçtik. Peki bu cihazın Ethernet ile alakalı bir sıkıntısı olduğunda ne olacak? Örneğin kablosal bir problem bu AP e bağlı olan clientlar data göndermeye devam edecektir fakat kaynağına ulaşamayacağı için paketlerde kayıplara neden olur. Birde kullanılan protokol UDP ise paket kayıpları takip edilemeyecektir. Birçok kişi Access point rolünde bırakır. Peki diğer opsiyonlar ne işe yarıyor;

Access Point (Fallback to Radio Shutdown) : FastEthernet down olursa radio interface ini kapatır.

Access Point (Fallback to Repeater) : FastEthernet down olursa ve cihazın kapsama alanında başka bir AP (Radio ayarları aynı ise) var ise cihaz tekrarlayıcı (Repeater Mode) olarak görev yapar.

Repeater: Burada ise cihaz başka bir AP den aldığı sinyali tekrarlar. Önerilen mode değildir, çünkü tüm yük Root AP nin üzerinde olur ve Repeater mode daki cihaz sadece dataları alıp Root a iletir. Repater mode, kablonun gidemediği lokasyonlar için kullanılması uygundur.

Diğer rolleri ilerleyen makalelerde anlatacağım.

Data Rates bölümü. Ben burada Best Throughput seçtim.

Kanal ayarlarını yaptığımız yer.  Default ayarlarda tüm kanallar seçili gelir ve en az enterferans a uğrayan kanalı seçmeye çalışır. Bir network yapısında, switch, router veya AP olabilir. Bir protokol var ise ve auto kelimesi geçiyor ise, bu çoğunlukla bir güvenlik açığı veya önerilen bir uygulama değildir.  Buradaki ayar içinde bu geçerlidr. Cisco bunun Auto da bırakılmasını önermez. Doğru uygulama, site survey yapıldığında en az çakışan veya cihazın kesişmediği kanalı seçmektir. Non-Overlapping channels, 1,6 ve 11 dir. Buradaki uygulamada 1,6 ve 11 kanallarını seçip auto da bıraktık. Cihazın çalışacağı lokasyon hakkında bilgimiz yok ise uygulanabilir

Sayfanın en altından Apply dediğimizde bir uyarı belirtiyor. Burada 802.11b clientların bağlantısının önleneceğini uyarıyor. Performans açısından doğru olanda budur. 802.11b client bağlandığında, protection mode a geçer ve cihazın data rate oranlarında düşüşler yaşanır ve bu da dolaylı olarak performanıs ciddi bir şekilde etkiler. Bu Cisco ya özel bir durum değildir. Herhangi bir 802.11g ye B client a bağlandığında bu durum gerçekleşir.   Ok diyoruz.

Wireless tarafındaki ayarlarımız bitti. Şu anda SSID miz yayın yapıyor. Son olarak cihaza ulaşımı daha güvenli hale getireceğiz.

Default password ü değiştiriyoruz.

Cihazın tarih ayarlarını yapıyoruz. Burası loglamaları analiz ederken önemlidir çünkü tarih yanlış ise ne zaman olduğunu tespit edemezsiniz.

Telnet i kapatıp. SSH ı açıyoruz.

HTTP yi kapatıp, HTTPS etkin kılıyoruz.

Stand Alone AP mizin ayarlarını yaptık. Cisco AP lerde 2 çeşittir. AP ve LAP (Light Access Point). LAP cihazlar, WLC ile yönetilebilir ve dump cihazlardır. Cihazda LWAPP image bulunur ve tüm konfigürasyon bilgilerini WLC  dan alır. Bir sonraki makalede WLC lar hakkında bahsedeceğim.  Bu makalemde Kablosuz ağlar ve standartları hakkında genel bilgiler ve Cisco AP konfigürasyonunu anlatmaya çalıştım. Aslında kablosuz ağların geçmişi eskiye dayanır.  Bu makaleyi yazarken çok fazla teknik bilgilere girmemeye çalıştım ama okurken de fark ettim ki yazıya dökmek istediğim birçok konu eksik kaldı. Umarım ilerleyen bölümlerde kablosuz ağlar hakkında bir makale yazabilirim.

Makaleyi bitirmedin Cisco AP ürün ailesi hakkında biraz bilgi vermek isterim; 1130 serisi bir AP ile konfigürasyon yaptık. Bu modelin bir üstü 1140 serisidir. Bu cihazlar piyasada çok yeni olup stand-alone versiyonları daha bulunmamaktadır. LAP olarak sadece WLC ile yönetilebilir. Wireless N destekler. 1200 serisinden, 1231 AP ler Haziran 2009 da End-of-Sale oldu bunun bir üst model 1242 AP lerdir. Metal kasa oldukları için depo gibi alanlarda kullanıma uygundur. 1131 cihazlara göre daha sıcağa dayanıklıdır. Voice uygulamalarında performans ı 1100 sersine göre daha iyidir. 1242 lere harici anten takılabiliyor ve bu modellerin entegre antenli modeli yok. 1252 AP ise, Cisco nun ilk çıkardığı N destekli cihazdır. 1200 serisi gibi dış ortamlara daha dayanıklı ve güçlü bir cihazdır. Outdoor olarak 1300 serisi olan 1310 AP ler, hem entegre anten (13 dbi) hemde harici anten takılabilir olan modelleri vardır. İlerleyen makalelerde 1310 ile Root – Non-Root konfigürasyon örneğini yapıp iki binayı birbirine wireless olarak bağlayacağız. Onun için Outdoor tarafındaki çözümlerden fazla bahsetmeyeceğim.

Son olarak yaptığımız konfigürasyonun CLI tarafındaki çıktısını yolluyorum. Bir sonraki makalede görüşmek üzere.

Murat GÜÇLÜ

ap#sh u
Building configuration…

Current configuration : 3619 bytes
!
! Last configuration change at 11:52:18 +0300 Thu Jul 2 2009 by cisco
! NVRAM config last updated at 11:52:18 +0300 Thu Jul 2 2009 by cisco
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$IM/K$AnLobiTIjamvYzdmxQRHR1
!
no aaa new-model
clock timezone +0300 3
ip domain name muratguclu.com
!
!
dot11 ssid Test
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 101F5B4A5142445C545D7A
power inline negotiation prestandard source
!
username admin privilege 15 password 7 135445415F5952
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!
ssid Test
!
speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
channel least-congested 2412 2437 2462
station-role root
world-mode dot11d country TR indoor bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address dhcp client-id FastEthernet0
no ip route-cache
!
no ip http server
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
bridge 1 route ip
!
line con 0
line vty 0 4
login local
!
end

Kullandıklarım,

-          1 adet Layer2 veya Layer3 switch (VTP Server modda çalışacak)

-          4 adet Catalyst 2950 Switch

-          4 adet Server

Topolojimi bir bina içerisinde her biri için farklı serverların kullanıldığı 4 farklı Departmanı ele alarak oluşturuyorum.  Yapı itibariyle 5 katlı olan bu binamızda en üst katı sistem odası olarak ayırdım. Geri kalan katların yerleşimine müdürümüz karar verdi böylece 4.kat Muhasebe 3. kat Finans 2. kat Satış 1. kat Güvenlik departmanı olarak belirlendi. Böyle bir yapı için bizden istenen her departmanın kendine ait bir switchi ve kendisine ait bir VLAN’a sahip olması yönündeydi. Bu aşamada içinizi rahatlatacağım, her katta farklı switch ve VLAN’lar olmasına rağmen, siz ileride bir gün her hangibir departmandaki kullanıcıyı farklı departmanın olduğu bir katta çalıştırsanız bile kullanıcının PC’sini o katta bulunan switch üzerinden kendi çalıştığı departmana ait VLAN’a dahil edebilirsiniz. Böylelikle kullanıcı Fiziksel olarak farklı bir departmanda bulunsa bile network kablosu, daha önceki kullandığı VLAN’a dahil olan porta takılı olacağı için çalışmakta olduğu departmandaki kullanıcı PC’lerinden gelen Broadcast paketlerinden etkilenmeyecek hatta bu PC’lere erişemeyecektir. Yani biz istemediğimiz sürece sadece kendi dahil olduğu VLAN içerisinde haberleşecektir.

Şimdi konumuza geri dönelim farklı serverların olduğu en üst kattaki sistem odamıza 1 adet 3560 Layer 2 ve diğer tüm katlara Catalyst 2950 24 portluk switch koydum sırasıyla gidecek olursak;

I) Sistem odasındaki 3560 L2 switch’in VTP modunun server yapılması, VTP Domain adı ve şifresinin belirlenmesi, departmanlar için VLAN’ların oluşturulması, Switch üzerindeki “diğer switchlere VLAN bilgisini dağıtacak olan” Trunk portunun yapılandırılması.

II) Diğer katlardaki 2950 switchlerin VTP modunun Client yapılması, VLAN ve VTP Domain bilgisini iletecek olan trunk portunun yapılandırılması.

Şimdi VTP modu server olarak yapılandıracağım. Belli bir düzende gitmek ve karmaşıklığı azaltmak için konfiurasyona en üst kattan başlıyorum.

Bildiğimiz gibi standartta tüm switchler server modda gelmektedir bunun için biz 3560 L2 switch dışındaki tüm Catalyst 2950 switchlerin VTP modunu client olarak yapılandıracağımızı unutmayalım.

1) 3560 L2 Switch VTP Domain Ayarlarının yapılması,

Önce switchimize diğer switchlerin fiziksel bağlantısını yapmadan önce notebook yada bilgisayar ortamından konsol yardımı ile switchimize bağlanıyoruz.

Gördüğünüz gibi bir alışkanlık olarak ilk önce hostname komutu ile switch’imize 3560L2 ismini verdim. Şimdi VTP Domain ayarlarına geçelim. Switchimizin adını değiştirdikten sonra kaldığımız yerden devam ediyoruz.

3560L2(config)#vtp mode server

Device mode already VTP SERVER.

3560L2(config)#vtp domain caylaklar

Changing VTP domain name from NULL to caylaklar

3560L2(config)#vtp password caylaklar

Setting device VLAN database password to caylaklar

3560L2(config)#wri mem

Building configuration…

[OK]

Yukarıda gördüğünüz gibi konfigürasyon modundayken

“vtp mode server” komutu ile switchin VTP modunu server yaptık. Daha sonra

“vtp domain caylaklar” komutu ile switch üzerinde caylaklar domainimizi oluşturduk

“vtp password caylaklar” komutu ile switch üzerinde kurduğumuz caylaklar domainine caylaklar diye parola verdik.

Şimdi diğer switchlerin VTP domain ile haberleştirecek olan Trunk portunu belirleyip ve ayarlarını yapalım;

3560 L2 switch üzerinde 2 adet Gigabit Ethernet portu mevcut ben hızdan kazanmak için Gigabit Ethernet 0/1 arayüzünü Trunkport olacak şekilde ayarlıyorum. Şimdi;

3560L2>en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#interface gigabitEthernet 0/1

3560L2(config-if)#switchport mode trunk

3560L2#(config-if)#description Trunk Porttur

Şimdi açıklayarak anlatmak istiyorum Konfigurasyon moda girerek VTP Server modda çalışan switchimizin Trunk yapmasını istediğimiz Gigabit Ethernet 0/1 portunun switchport mode trunk olacak şekilde aynı isimli komutla ayarlamış olduk. Daha sonra description Trunk Porttur diyerek bu porta ait içerik bilgisi yazmış olduk. Bu sayede show running-config komutunu yazdığımızda karşımıza çıkacak olan arayüz listesinde Gigabit Port altında açıklamasını görmüş olacağız.

!

interface GigabitEthernet0/1

description Trunk Porttur

switchport mode trunk

!

gibi.

Bu kısıma kadar herşey anlaşılır sanırım. Şimdi gelelim 4-3-2 ve 1. katlardaki 2950 switchlerimizin yapılandırılmasına. Bu ayarlar tüm client switchlerimiz için aynı olacaktır.

Öncelikle switch’imizi açıyoruz ve

Switch>en

Switch#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#hostname Muhasebe

Muhasebe(config)#vtp mode client

Setting device to VTP CLIENT mode.

Muhasebe(config)#vtp domain caylaklar

Changing VTP domain name from NULL to caylaklar

Muhasebe(config)#vtp password caylaklar

Setting device VLAN database password to caylaklar

Muhasebe(config)#interface fa0/24

Muhasebe(config-if)#switchport mode trunk

Muhasebe(config-if)#description Trunk Porttur

Muhasebe(config-if)#exit

Muhasebe(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

Muhasebe#wri mem

Building configuration…

[OK]

Muhasebe#

Şunu belirtmek istiyorum ilk olarak switch’e bağlanıp hostname komutu ile switchin adını muhasebe olarak değiştirdim. Daha sonra Konfigürasyon modundayken vtp mode client yazarak switchimizi client moda alıyoruz. Client olarak VTP Domainine dahil olmasını istediğimiz bu switchimizi, server switchimize yazdığımız komutların birebir aynısını yazıyoruz. Aslında ben bu aşamayı bluetooth’ta iki telefonun birbirini görmesi için yaptığımız işleme benzetiyorum.

Şimdi unutmadan ufak bir işlemimiz kaldı client switchlerde Trunk port iki tane olmak zorunda yani bu konfigürasyonunu yapmış olduğumuz switchin 24. portunu trunk yapmıştık şimdi de 23. portunu da Trunk yapıp diğer client switch ile haberleşebilmesi için yapılandıracağız.

Muhasebe(config)#interface fa0/23

Muhasebe(config-if)#switchport mode trunk

Muhasebe(config-if)#description Trunk Porttur

Muhasebe(config-if)#exit

Bu yapıda client switch’ler üzerindeki tüm 24. portlar alıcı, 23.Trunk portları ise bir sonraki client switche aktarıcı olarak yapılandırdım.

Yukarıda gördüğünüz yapıyı bir program aracılığı ile çizdim ancak site kuralları gereği ismini vermek istemiyorum. Görüdüğünüz gibi en üst katta, içerisinde 4 adet server ve ana switchimiz olan Cisco 3560’ın bulunduğu sistem odası ve alt katlarda herbirine 5 desktop pcnin bağlı olduğu VTP client modda çalışacak olan Cisco 2950 switchlerimizi yerleştirdim. Kısaca nasıl bağlandıklarından bahsedeyim Server ve Desktop PC’ler standart Category5 veya Category6 kablo ile Switchlerin portlarına bağlanır. Ana switch olan 3560 ile 4.kattaki 2950 switch arasındaki Trunk portlarını cat5 kablo ile birleştirdim isterseniz cross-over kabloyla da bağlayabilirsiniz. Son olarak 4. kat ve 1. kat arasında bulunan tüm 2950 switchler arası cross-over kablo ile bağladım.

Evet, şu ana kadar yaptığımız tüm işlemler ile aktif cihazları yani switchleri 1 server ve 4 client switch olacak şekilde VTP domain yapısına aldık. Bu sayede server switch olan 3560 üzerinde VLAN oluşturduğumuzda client olan switchler bundan haberdar olacak ve client switch üzerinde portları VLAN’a atamak dışında bir işlem yapmamıza gerek kalmayacak. Şimdi yapacağımız işlemler bu yapının amacımıza uygun hale getirilmesini sağlayacak.

Server switch olan 3560 üzerinde Muhasebe, Finans, Pazarlama ve Güvenlik VLAN’larımızı yaratalım.

3560L2>en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#vlan 2

3560L2(config-vlan)#name Muhasebe

3560L2(config-vlan)#exit

3560L2(config)#vlan 3

3560L2(config-vlan)#name Finans

3560L2(config-vlan)#exit

3560L2(config)#vlan 4

3560L2(config-vlan)#name Pazarlama

3560L2(config-vlan)#exit

3560L2(config)#vlan 5

3560L2(config-vlan)#name Guvenlik

3560L2(config-vlan)#exit

3560L2(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

3560L2#wri mem

Building configuration…

[OK]

Şimdi show vlan komutu ile vlan tablomuzu görelim.

Şimdi artık VTP Domainimiz aktif olduğu için hangi switch’te show vlan yazarsanız yazın bu listeyi aynı şekilde göreceksiniz. Yani 3560 üzerinde yeni bir VLAN yaratılması ve silinmesi durumunda güncel bilgi VTP Domain yoluyla diğer switchlere de aktarılacaktır.

Bu yapıda sistem odamızda bulunan serverlarımızı yarattığımız VLAN’ların üyesi yapalım. Serverlarımız networke bağlı olduğu 3560 switch üzerinde olduğu için bu switch üzerinde aşağıdaki işlemleri yapmalıyız,

3560L2> en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#interface fa0/1

3560L2(config-if)#switchport access vlan 2

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/2

3560L2(config-if)#switchport access vlan 3

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/3

3560L2(config-if)#switchport access vlan 4

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/4

3560L2(config-if)#switchport access vlan 5

3560L2(config-if)#no shutdown

3560L2(config-if)#

Gördüğünüz gibi 1 den 4’e kadar olan tüm interface yani arayüzlerin konfigurasyonuna girip iletişimlerini

Arayüz                      VLAN ID

(fa0/1                   ->            VLAN 2) Muhasebe

(fa0/2                   ->            VLAN 3) Finans

(fa0/3                   ->            VLAN 4) Pazarlama

(fa0/4                   ->            VLAN 5) Güvenlik

Bu aşamada ana switchimize bağlı olan tüm serverlar kendilerine ait VLAN’ların üyesi oldular.

Tüm serverların DHCP ile IP dağıtacak şekilde konfigure edildiğini farzedin, merak etmeyin artık serverlarınız aynı switche bağlı olmasına rağmen farklı VLAN’lara üye oldukları için DHCP sorgulamaları sadece kendi VLAN’ları içerisinde gerçekleşecektir. Biz istemedikçe farklı VLAN’lar birbirleri ile haberleşmeyeceklerdir.

Şimdi en alt kata inerek Güvenlik departmanındaki 1 adet Client PC’mizi 2950 client switchimizin 1.portuna bağlayalım ve Güvenlik VLAN’ı yani VLAN 5’e dahil edelim sonrada VLAN 5’e dahil olan GVN-DC’den IP almasını sağlayalım.

Guvenlik>en

Guvenlik#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Guvenlik(config)#interface fa0/1

Guvenlik(config-if)#switchport access vlan 5

Guvenlik(config-if)#no shutdown

Guvenlik(config-if)#exit

Guvenlik(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

Guvenlik#wri mem

Building configuration…

[OK]

Guvenlik#

İşte oldu, Güvenlik departmanındaki PC’mizi 2950 Client modda çalışan switchimizin 1. portuna taktık ve sonrasında bu portun ayarlarına girip, switchport access vlan 5 yazarak, bu port üzerine hangi PC’yi takarsak takalım artık bu portun VLAN 5 üzerinden haberleşecek şekilde ayarlamış olduk. Dolayısıyle siz VLAN 5’e dahil olan GVN-DC’niz üzerinde DHCP yapılandırması yaptıysanız ve bu VLAN’a sonradan dahil olacak client pclerin IP konfigurasyonu otomatik alacak şekilde yapılandırıldıysa, GVN-DC üzerinden yani DHCP üzerinden IP almaya başlayacaklardır ve bu durumdan switch üzerinde bulunan diğer VLAN’lar etkilenmeyeceklerdir. Bunun mantığında (Her VLAN kendi kendine broadcast domaindir) sözü yatmaktadır.

Arkadaşlar ne yazık ki makalemin sonuna gelmek zorundayım. Konfigurasyonu Tek server switch, tek client switch, tek server, tek client pc yapılandıracak şekilde anlattım. Tüm topolojiyi etkin kullanabilmeniz için client switch yapılandırmasını diğer switchlere de uygulayarak yapabilir ve diğer tüm pc’lerin bağlanacağı switchler üzerindeki ara yüzleri, üyesi yapmak istediğiniz VLAN’lana dahil ederek yapabilirsiniz.

Gelelim VLAN’a, sayesinde networkümüzü birbirinden bağımsız segmentlere ayırma imkanı sağlayarak, riskleri önleme, karmaşıklığı ortadan kaldırma ve problem çözme konusunda bizlere büyük ölçüde fayda sağlamaktadır. Network yapımıza hiyerarşi kazandırma yönünden elimizin altında bulunan en yararlı araçlardan birisi haline gelmiştir.

Vlan yaratılan bir switchte hostlar tarafından gönderilen broadcast paketleri sadece aynı vlana dahil olan portlara gönderilir. Bu yüzdendir ki her VLAN kendi içerisinde bir broadcast domaindir. Bu özellik sayesinde kaynağı bilinmeyen unicast paketlerde sınırlanmış olurlar.

Layer3 bir cihaz ile VLAN’lar arası yönlendirme yapılana kadar farklı VLAN’lar birbirleri ile haberleşmeyecektir. Yani buda demektir ki farklı VLAN’ların konuşabilmesi için kesinlikle VLAN roting işlemi yapılması gerekmektedir. “VLAN arası yönlendirme yapıyorsak ne gerek vardı VLAN oluşturmaya?” diyenler için söylüyorum, ayrı VLAN’lar konuşuyor olsalar bile broadcast paketleri sadece aynı VLAN’a dahil olan portlarda gerçekleşecektir. Konfigurasyondan önce birde şunu ekleyeyim, Per-Vlan Spanning Tree sayesinde Loopları önlemiş oluyoruz. Tabi her VLAN bu denetimi kendi içerisinde yaptığı için LOOP felaketinden hem tüm switch etkilenmiyor hemde LOOP’un oluştuğu kaynağın tespiti daha çabuk yapılmış oluyor.

Basitçe VLAN nasıl yaratılır?

• VTP modun ayarı
• Vlan yaratılması
• Vlanı kullanacak interface (arayüzün) belirlenmesi
• İki switch arası 802.1Q trunk ayarının yapılması

Yapımızın 2 farklı switchten oluştuğunu varsayalım,

Switch1 Konfigurasyonu

1)     Önce VTP modumuzu server yapacağız

2)     VLAN’ımızı yaratacağız

3)     Fa0/11 ve fa0/12 olarak switch1 üzerinde bulunan portlarımızı oluşturduğumuz VLAN’a ekleyeceğiz.

Switch2 Konfigurasyonu

1)     VTP modumuzu Transparent yapalım

2)     Switch2 üzerinde bulunan fa0/13 portunu yaratmış olduğumuz VLAN’a ekleyeceğiz ve Trunk sayesinde 2 switch arası VLAN’ı haberleştireceğiz.

İlk işlemimiz ile başlayalım

Switch1’e bağlantı kuruyoruz ve enable moda düşüyoruz.

Daha sonra alışkanlık olsun diye söylüyorum show vlan komutu ile Switch üzerindeki VLAN tablomuza şöyle bir göz atıyoruz.

Daha sonra VTP mod ayarımız için Config mode’a geçiş yapıyoruz.

SW1# configure terminal

SW1(config)# vtp mode server

Şimdi VLAN’ımızı yaratalım.

SW1(config)#vlan 2 (Bu komutu yazdığınızda VLAN’ınız yaratılmış olacaktır)

SW1(config-vlan)#name teknik (name boşluk VLAN’ımıza atayacağımız isim. Ben Teknik yaptım)

Aşağıda fa0/11 portunun ayarını yaparken switchport access vlan 2 demekle, fa0/12 portunun yaratmış olduğum vlan 2 üzerinden haberleşeceğini yani kısacası artık bu portun vlan 2’nin üyesi olacağını belirtmiş oluyorum.

SW1(config-vlan)#interface fa0/11

SW1(config-if)#switchport access vlan 2

Unutmayın ki interface fa0/11’de PC1 vardı aynı şekilde birde Switch1’e fa0/12 portundanbağlı olan PC2 var. Aralık vermeden fa0/12 portu içinde aynı komutları yazıyoruz.

SW1(config-vlan)#interface fa0/12

SW1(config-if)#switchport access vlan 2

SW1(config-if)#     (ctrl+z) tuşlarını kullanarak enable mode dönelim ve VLAN’lara göz atalım

SW1#show vlan

Evet gördüğünüz gibi switch1 üzerinde vlan 2 yarattık teknik ismini verdik ve fa0/11, fa0/12 portunu, vlan 2 içerisine dahil etmiş olduk. Zor bir şey yok.

Şimdi geçelim Switch 2 yani diğer switch’imize;

Bu switch’te ise PC3 ün bağlı olduğu fa0/13 portunu vlan 2 içerisine al diyeceğiz.

SW2# configure terminal

SW2(config)#vtp mode transparent

SW2(config)#interface fa0/13

SW2(config-if)#switchport access vlan 2

Bu komutu yazdığımız ve enter’a bastığımızda switch bize kendi üzerinde vlan 2 olmadığını ve bizim için yarattığını söyleyecektir. Ancak switchler arası Trunk portları henüz ayarlamadığımız için şu an fiziksel olarak 2 switch’te de ayrı (vlan 2) bulunmaktadır.

Evet 2. Switch’teki işimizde neredeyse bitti sayılır, burada ne yaptık yukarıdaki komutlardan anlatayım. Switch 2’nin vtp mode’unu transparent olarak ayarladık. Fa0/13 ara yüzünü vlan 2 içerisine dahil ettik.

Şimdi gelelim 2 switch arası Trunk ayarlarına.

Ben, Switch 1 ve 2 üzerindeki Trunk portlarımı fa0/24 olarak belirledim. Ayarlarına gelecek olursak.

SW1# configure terminal

SW1(config)# interface fa0/24

SW1(config-if)#switchport mode trunk

Bu sayede Switch 1 üzerindeki fa0/24 portu her zaman Trunk yapacak demektir.

Gelin kontrol edelim,

Ctrl+z yapıp enable moda gelelim

SW1#  show interface trunk yazalım ve enter’a basalım

PC1 PC2 ve PC3 arası ping attığınızda sistemin çalıştığını göreceksiniz.

Kısaca Trunk Haberleşme komutlarına değinmek istiyorum,

Trunk bildiğiniz gibi VLAN’ların iki farklı switch arasında haberleşmesini sağlayan yapıydı peki komutları girerken nelere dikkat etmeliyiz.

Switchler arası trunk ayarlarınızı yaparken tablodaki komutlar hep aklınızda kalsın.

Bu cihazın temel özelliklerini yukarıdaki tabloda da görebilirsiniz.

Cihazın donanımsal özelliklerinin yanısıra bir de IOS yazılımının özellikleri mevcuttur. Onları da aşağıdaki tabloda görebilirsiniz.

Çok daha fazla detaylı bilgi almak isteyen arkadaşlarımız varsa aşağıdaki linkte yer alan Soru ve Cevaplar köşesini okuyabilirler.

http://www.cisco.com/en/US/products/hw/routers/ps380/products_qanda_item0900aecd8028a982.shtml

Evet cihazın temel özelliklerini kısaca gözden geçirdiğimize göre artık yavaş yavaş konfigürasyona başlayabiliriz. Cihazın konfigürasyonunu iki şekilde gerçekleştirebiliriz.

1)internet explorerda adres çubuğuna https://cihazip yazıp cihaza bağlanarak. Standart IP 10.0.0.1 olarak gelir bu cihazlarda.

2)Hyper Terminal hizmetini kullanarak da bağlanabiliriz. Hyper Terminal ile bağlandığınızda ve bu yapıda konfigürasyon yapmak isterseniz  eğer komut satırını ve cisco komutlarını iyi bilmeniz gerekiyor.

Ancak unutulmaması gereken bir nokta var ki çok önemli. O da Bölgesel Dil ayarlarının İngilizce olarak ayarlanmasıdır.

İkinci önemli bir nokta da Java uygulamasının sistemimizde yüklü olması gerekmektedir. Eğer Java’yı indirme şansınız yoksa ürünün CD’sinde Java programı vardır ordan da kurabiliriz.

Evet ilk işlemimize geliyoruz artık. Ben cihazın konfigürasyonunu http arayüzünü kullanarak yapacağım. Bana daha kolay geliyor. Çünkü Cisco komutlarının komut satırından yürütülmesi konusunda çok iyi değilim. İnternet explorer sayfamızdaki adres kısmına gerekli IP bilgilerini giriyorum.

IP girişini yaptıktan sonra karşımıza aşağıdaki gibi bir pencere gelicektir.

Benim işletim sistemin Windows Vista olduğu için ben bu emsajı alıyorum. Ancak Windows XP üzerinde bu mesajı almadım. Burada “Continue to this website (not recommended)” seçiyorum ve diğer aşamaya geçiyorum.

Yukarıdaki şekilde de  gördüğümüz gibi karşımıza cihaza ulaşabilmemiz için bir kullanıcı adı ve şifre girişinin yapılmasını istiyor. Burda kullanıcı adımı ve şifremi giriyorum. Default konfigürasyonda bu değerler yoktur. Ben daha önceden cihaza giriş yaptım ve kullanıcı adı ve şifre tanımlaması yaptım o yüzden bana bunu soruyor.

Kullanıcı adı ve şifre girişini gerçekleştirdikten sonra karşımıza aşağıdaki gibi bir pencere gelecektir.

Yukarıdaki şekilde Cisco SDM Express (Csico Security Device Manager Express) yükleniyor. Bu SDM bizim cihazı konfigüre ederken kullanacağımız arayüzdür. Yükleme işlemi bittikten sonra karşımıza aşağıdaki gibi bir pencere gelecektir.

Evet yukarıdaki şekilde de gördüğünüz gibi SDM yüklemesi yapılıyor ve cihaz konfigüre edilmek üzere hazır hale getiriliyor. SDM yüklemesi tamamlandıktan sonra karşımıza cihazın son durumunu gösteren aşağıdaki şekil gelecektir.

Evet artık konfigürasyona başlayabiliriz. Daha önce de bahsetmiştim. Hani girişte bana cihaza girerken bir kullanıcı adı ve şifre sormuştu. İşte o kullanıcı adı ve şifrenin nasıl oluşturulduğuna bakalım.

Yukarıdaki şekile baktığımız zaman sağ tarafta bir sütun var ve orada “Tasks” kısmını görmekteyiz. Biz oradan cihaz üzerinde yapacağımız ayarların kısa yollarını kullanacağız.

Basic Configuration’a tıkladığımızda yukarıdaki şekildeki gördüğümüz orta kesimdeki yapı karşımıza çıkacaktır. Burda cihaza bağlanırken kullanacağımız kullanıcı adı şifrelerini belirliyoruz. Görüldüğü gibi ben bir adet kullanıcı hesabını şifresi ile birlikte oluşturdum ve cihaza bağlanırken de o kullanıcı adı ve şifresini kullandım. Ayrıca orda Hostname kısmından cihaza bir isim tanımlayabiliriz. Domian Name kısmından da cihazın hangi domaine ait olduğunu tanımlayabiliriz.

Tasks kısmındaki görevlerimizden ikincisine yani LAN kısmına gçiyoruz. Bu kısımda cihazımıza bir IP tanımlaması yapacağız. Şekilde de görüldüğü gibi cihazımıza 10.0.0.1 IP’sini veriyorum.

IP’mizi de cihazımıza verdikten sonra diğer aşamaya geçebiliriz.

Bu aşamada yani Internet (WAN) konfigürasyonu kısmında Türk Telekom yada ADSL hizmetini aldığımız firmanın bize vermiş olduğu değerleri ilgili yerlere giriyoruz. Encapsulation,VPI (8) ve VCI (35) değerlerini uygun yerlerine giriyoruz. En alt tarafta bulunan Authentication (kimlik doğrulama) kısmında kullanıcı adımızı ve şifremizi doğru bir şekilde giriyoruz.

Şimdi sıra geldi diğer kısma. Eğer networkümüzde bir DHCP server yoksa ve IP dağıtımını Cisco 877 üzerinden yaptırmak istiyorsak bunun için cihaz üzerindeki DHCP servisini yapılandırmamız gerekiyor. Bunun için Tasks kısmından DHCP sekmesine tıklıyoruz ve karşımıza aşağıdaki DHCP yapılandırma penceresi geliyor.

Şkeilde de görüldüğü gibi cihazımızın üzerindeki DHCP servisini aktif hale getiriyoruz. Bunun için “Enable DHCP server on the LAN interface (Vlan1)” işaretliyoruz ve devam ediyoruz. Şimdi sıra IP havuzunun başlangıç ve bitiş aralıklarının tanımlanmasında yani IP havuzunun oluştulması diyebiliriz. Ben başlangıç IP olarak 10.0.0.201 ve bitiş IP olarak da 10.0.0.254 aralığını verdim. Benim burda bu kadar azIP tanımlamamın sebebi cihazı koymuş olduğum firmada sabit ve 20 PC olmasıdır. Siz bu aralığı kendi firmanızdaki PC sayınıza göre büyütebilir yada küçültebilirsiniz. Diğer aşamada DNS ayarlarımız mevcut. Burda da birinci ve ikinci DNS IP’lerini tanımlıyoruz.

Bu müşterimizin bizden bir isteği daha vardı o da evinden işyerindeki servera bağlanıp arasıra kontrol etmek istiyordu. Bunun için 3389 nolu portu içerdeki servera yönlendirmem gerekiyordu yani NAT yapacağız.

Şekilde de görüldüğü gibi Add butonuna basıp gerekli girişleri yapıp 3389 nolu portu içerdeki serverıma (10.0.0.200) yönlendiriyorum. Bu girşi de yaptıktan sonra yetkili kişi dışarıdan işyerindeki servera bağlanıp gerekli işlemlerini yapabilecektir. Aşağıdaki şekilde 3389 nolu portun içerideki servera nasıl yönlendirildiğini görmekteyiz.

Private IP address dediği serverımızın IP adresidir. Public address kısmında ise IP address of WAN seçiyoruz. Eğer bu servera dışarıdan belli ve sabir bir IP adresinden bağlanmayı isteseydik bu sefer New IP Address seçip oraya real IP’yi yazmamız gerekecekti. Mesela firmadaki yetkili kişinin real IP’si atıyorum 88.1.2.3 olsun. Bu IP’yi biz oraya girersek sadece o IP’den gelen istekleri içerideki servera gönderecekti.

Routing kısmında ise Dialer0 enable halde karşımıza çıkıyor. Bunun sebebi ise WAN ayarlarımızı yapmamızdır. Komut satırındaki karşılığı aşağıdaki gibidir.

ip route 0.0.0.0 0.0.0.0 Dialer0

Bu kısmı çok iyi öğrenmek lazım. Neden derseniz burada yapacağımız yanlış yönlendirme bizim internete çıkışımızı engelleyebilecektir. Ki daha önce bu cihaz ilk karşıma geldiği zaman ben buraları yanlış yaptığım için internet erişimini bir türlü sağlayamamıştım. Ancak deneme yanılma yöntemi ve forumlardan aldığım yardımlarla yanlışımı buldum ve olayı çözmüş oldum.

Şimdi de güvenlik kısmına bir bakalım neler var?

Güvenlik (Security) kısmında 3 seçeneğimiz var.

1)Güvenlik riskleri içeren  bazı yapıların devre dışı bırakılması.

2)Router / Network üzerinde güvenliği arttıracak olan servislerin aktif hale getirilmesi.

3)Şifrelerle ilgili güvenliğin sağlanması.

Ve en altta Router’ın saat ayarları ile ilgili kısmımız mevcut. Eğer isterseniz cihazınızın saati ile local pc’nin saat ayarlarını eşitleyebilirsiniz.

Bütün bunları yaptıktan sonra artık yapmış olduğumuz ayarları cihazımızın kafasına yazalım ki unutmasın. Bunun için de aşağıdaki şekilde görünen kısa yolları kullanabiliriz.

Reset to Factory Default: Eğer buna tıklarsanız ve onaylarsanız herşeyi başa almış olursunuz. Cihazın bütün ayarları ilk aşamaya geri döner.

Apply Changes: Bu kısımda ise yapmış olduğumuz ayarları kabul ediyoruz ve onaylıyoruz.

Discard Changes: Buna basarsak yapmış olduğumuz ayarları kabul etmediğimizi ve uygulanmamasını istiyoruz demektir.

Evet hepsini yaptık şimdi bir de test edelim bakalım konfigürasyonumuz çalışıyormu. İlk olarak internet erişimimizi kontrol edelim. Adres çubuğuna www.caylaklar.net yazıyorum ve sonucuna bakalım.

Evet görüldüğü gibi sitelerim açılıyor.

Şimdi uzak masaüstünü bir deneyelim. Bunu içinde aşağıdaki adımları takip ediyorum.

İlk önce uzak masaüstü bağlantısını açıyorum ve gerekli IP’yi giriyorum.

Ve karşıma aşağıdaki serverımın kullanıcı adı ve şifre giriş penceresi geliyor. Kullanıcı adımı ve şifremi giriyorum ve artık serverımda istediğim işlemleri gerçkleştirebilirim.

Yapımız büyüdükçe gerek güvenliğimiz için, gerekse yönetimini üstlenmiş olduğumuz network içerisinde ne olup bittiğinden haberdar olmak için ve hatta bazen üye olmuş olduğumuz kurum, kuruluş ve denetim yerlerinin istemiş oldukları kriterleri sağlamak içn bir takım firewall ürünlerine ihtiyaç duyabiliriz.

Bu makalemizde şube yapısı bulunan bir şirket için internet erişim yollarını açıklamaya özen gösterecek ve sahip olduğumuz ürünler çerçevesinde minimum maaliyet ile internet erişimini şirket yapımıza nasıl uygularız, nasıl güvenliğimizi sağlarızı konuşacağız. Makalemizin Ana konusu olan Access Listler (erişim listeleri) ile bir Cisco routeri firewall olarak yapılandırmadan önce konumuzla ilgili olan network ürünlerinden bahsetmemiz gerekirse.

Firewall         : Yapımızın ihtiyacı doğrultusunda gerek donanımsal gerekse yazılımsal olarak kullanabileceğimiz; Local ağımızla İnternet ağı arasında güvenli bir şekilde iletişim kurmamıza yardımcı olan, istenmeyen istekleri önleyen ve kullanmış olduğumuz ürünün özelliğine göre daha bir çok özelleştirilmiş tanım yapabileceğimiz ürünlerdir.

Router           : Günümüzde bu cihazlar gerek LAN yapımız içerisinde bulunan ve iki farklı Network ID’ sine sahip bilgisayarın bir biri ile iletişimde bulunmaları için, gerekse LAN yapımızdan dışarıya çıkmamız gerektiği zaman kullanmamız gereken ve Türkçe karşılığı olarak YÖNLENDİRİCİ olarak bilinen cihazlardır.

Bir router için bilmemiz gereken iki temel kural vardır. Bunlar

Router üzerinde kesinlikle ama kesinlikle bir GW bulunmamalıdır. (Yazılımsal routerlar için verilmiş bir açıklamadır.)

Routerlar Broadcast geçirmeyen ürünlerdir.

Firewall’lar ve Routerlar için bilinmesi gereken en önemli tek ortak nokta client bilgisayarlar; gerek yönlendirme için, gerekse güvenlik için Gateway (Ağ Geçidi) olarak bu ürünleri görmek zorundadırlar.

Not : Ortada özel bir durum yok ise eğer misal olarak bir Isa Server Proxy server olarak yapılandırıldıysa eğer Gw olarak Isa serveri görmeye veya işletim sistemimizin komut satırında gerekli yönlendirme bilgileri client bilgisayarımıza öğretildiyse client bilgisayarın GW olarak bu ürünleri görmelerine gerek yoktur.

Yazımızın ilerleyen kısmında bu yapılandırmalardan bahsedeceğimizi belirtip GW leri neden kullanacağımızı örnek ile açıklayacak olursak 192.168.0.5/24 ip adresine sahip bir bilgisayar 192.168.0.6 /24 numaralı bir bilgisayar ile görüşmek istediği zaman Network ID leri aynı olduğu zaman ki /24 olduğu için her iki bilgisayarda aynı Network içerisinde olduğu anlamına gelmektedir bu iki bilgisayar bir birleri ile görüşmek istediği zaman üzerlerinde ki GW bakmaksızın gerekli hesaplamaları yaparak hedef bilgisayar ile iletişimde bulunmaktadırlar. Ama 192.168.0.5/24 ip adresine sahip bir bilgisayarımız 192.168.1.6/24 numaralı br bilgisayara gitmek istediği zaman sahip olduğu Network ID si kendisi ile aynı olmadığı için paketi kendi networkü içerisinde aramayacak ve isteği üzerinde tanımlı olan ağ geçidine yani Gateway gönderecek ve bu Gateway üzerinde tanımlı olan gerekli yönlendirme protokoleri var ise eğer ve bağlantımız da bir propblem yoksa hedef bilgisayar ile iletişimde buluna bilecektir. Gateway konusunda bilinmesi gereken en önemli nokta ise bir bilgisayarın sahip olmuş olduğu GW mutlaka ama mutlaka kendi networkünün içerisinde olmak zorundadır.

Konumuz ile ilgili bu genel bilgileri verdikten sonra yazımıza devam edebiliriz.

Mevcut yapımızdan bahsetmemiz gerekirse.

Her iki şubemiz içerisinde Cisco 1700 serisi Routerlarımız bulunmakta ve bir birlerine point-to-point olarak bağlı durumdadırlar.

Fakaonline şirketinin içerisinde bulunan bütün client bilgisayarlar 10.10.10.X Havuzu içerisindeler ve GW olarak da Solmaz Holding şirketi ile sürekli bağlantı içerisnde olan Cisco 1700 serisi Routerin Fasteth0 olan 10.10.10.54 numaralı ip adresini görmektedirler. Fakaonline Şirketinin internet erişimini karşılamak için bir adet ADSL modem networke dahil ediliyor ve IP adresi olarak da 10.10.10.2 ip adresine sahipdir. Yalnız bura da ki problem Gw olarak Routeri gören bilgisayarlar internete nasıl çıkacaklardır?

Bunun için bir çok çözüm vardır ve bizler bu makalede sırasıyla çözümleri konuşacak ve en yararlı olanı network yapımıza uygulayacağız.

İlk çözüm olarak bütün client bilgisayarlarımızın Netvork kartlarına alternatif bir ip tanımlar gibi alternatif bir Gw tanımlayarak çözüm bulabliriz. Bu alternaif Gw tanımlaması işlemimiz için en kolay olanıdır ve data kayıplarının olma ihtimali düşünülerse eğer pek fazla tavsiye edilmeyen bir çözümdür.

İkinci çözüm olarak; Netorkümüz içerisinde bulunan bütün client bilgisayarlarımızın Default Gw’ lerini 1700 serisi olan Cisco Routerimizin FastEth0 Portunu değil, Adsl Modemimizin sabit ipsini göstereceğiz ve Adsl Modemimiz üzerinde bir statik routing protokolü girerek ki;

Destination Ip Address     : Gitmek istediği networkü yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Ip (10.10.20.0) bloğunu yazıyoruz.

Subnet Mask                        : Gitmek istediği networkün subnet Mask’ını  yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Subnet mask 24 BIT lık bir maskdır ve 255.255.255.0 olarak yazıyoruz.

Gateway                               : Hangi routeri kullanarak Solmaz Holding’in networküne gideceğini belirliyoruz. Solmaz Holding Networkü ile iletişimde olan Routerimizin sahip olduğu Cisco Routerin  FastEth0’ ın ip (10.10.10.54) adresini yazıyoruz.

Ve bu girmiş olduğumuz statik rout’ dan sonra bütün bilgisayarlarımız Gw olarak ADSL modemimizi görecek ve internete çıkacaklar, Solmaz holdinge gitmek istediği zaman ise modemimiz Cisco Routerimiza Rout (yönlendirme) yapacak.

Bu şekilde yapacak olduğumuz bir yapılandırmanın bizlere sağlayacağı dezavantaj ise ADSL modemler Rout (yönlendirme) yapmak için dizayn edilmiş Network ürünleri değillerdir. ADSL modemlerimizin yapılış amaçları NAT yapmak ve internet erişimini sağlamak olduğu için, ve Cisco gibi kendini kanıtlamış routerlara göre çok çabuk down olma ihtimali düşünülerse eğer kullanım amacı dizaynı nı yapan sistemciye göre değişmektedir.

Bir diğer çözüme geçmemiz gerekirse Windows İşletim sistemimiz üzerinde girecek olduğumuz statik route kaydıdır. Komutumuzu açıklarsak eğer.

Route add Makinemize bir statik route eklemek için kullanırız. Komutumuzun devamında olan ilk 0.0.0.0 (gidilecek yer bilinmiyorsa) bilgisayarımızın gitmek istediği yeri, mask 0.0.0.0 (gidilecek networkün subnet maskı) gidilecek yerin subnet maskı bilinmiyorsa eğer, 10.10.10.2 ADSL modemimizin ip adresini yazıyoruz Metric olarak 1 seçiyoruz. Bu kayıt girildiği zaman oluşacak olan işlemden bahsetmemiz gerekirse bilinmeyen bütün kayıtlar modem üzerinden geçiyor ve sonuçta her ADSL modem Gw olarak Turk Telekomu gördüğü için cevabın karşılığı varsa eğer internet erişimi sağlanıyor. Gw olarak da biz Solmaz Holding networkünü (10.10.20.X) bildiğimiz için Routerimiz üzerinden karşı networkümüz ile iletişimimiz sağlanıyor.

Bu girmiş olduğumuz kayıt, kaydın girilmiş olduğu bilgisayar her reset atıldığında unutulacaktır. Çözüm olarak bu kaydı bir scrip haline getirip, internet erişimi vermek istediğimiz bilgisayarın başlangıcına koymak ve her açıldığında komutumuzun yeni baştan otomatik olarak çalışmasını sağlayabiliriz..

Veya komutumuza route add bölümünden hemen sonra –p (persistent (kesintisiz, sürekli) olarak yazarız ve bizler bu kaydı manuel olarak silene kadar çalışmasını sağlayabliriz.

Bilgisayarımız üzerinde girilen kaytları route print komutu ile görebiliriz. Girmiş olduğumuz Persistent Route (sürekli yönlendirme) en aşağıda ki satırda görünmektedir.

Bilgisayarımıza girmiş olduğumuz statik route kayıtlarını route delete komutu ile girilen yönlendirmenin devamını yazarak silebiliriz.

Yukarıda vermiş olduğumuz iki çözüm önerisine göre bu şekilde girilecek olan statik route kaydı en akıllıca olanı gibi gözükmektedir. İnternet erişimi vermek istediğimiz bilgisayarlara bu scribi uygularsak eğer, internet erişimini vermiş, fakat internet erişimleri için Networkümüzde herhangi bir  güvenlik önlemi uygulayamamış olacağız.

Şirket networkümüz üzerinde internet erişimini güvenli bir şekilde sağlamak ve yukarıda sunmuş olduğumuz internet erişim çözümlerine bir yenisini daha eklemek için Isa serverimizi ekleyebilir ve İsa serverimizi Proxy Server olarak yapılandırarak hem client makinelerimizin Isa üzerinden gerekli kısıtlamalar yapılarak web kaynaklarına erişmesini, kayıtların tutulmasını ve hatta gerekli Network tanımlamaları yapılırsa Solmaz Holding Networkünün dahi Fakaonline networkü içerisinde bulunan internet erişimi ile Web kaynaklarına erişmesini sağlayabiliriz.

Yalnız yapılacak olan bu yatırım ortalama olarak Windows 2003 Yazılımı, Isa server Yazılım lisansı ve yapılanırılacak olan bilgisayarın fiyatı ile birlikte ortalama olarak 3000 USD gibi bir fiyatı bulmaktadır.

Isa Serverin bizlere sağlayacağı yararlar düşünülürse eğer bu fiyatın çok da fazla olmadığını bilmekteyiz ama her şirket yapısı için bu çözüm pekde yanaşılır bir fiyat değildir. Isa server yerine Linux’un sağladığı daha ucuz yollu Proxy server çeşitleri veya yazılımlarıda Networkümüze dahil edilebilinir.

Ve biz son dizayn çeşidimize geçiyoruz. Mevcut yapımızı hiç bir değişiklik yapmadan Cisco Router üzerinden İnternet kaynaklarına erişimi sağlayacağız. Yazımızın başında olduğu gib Fakaonline networkü içerisinde bulunan bütün makineler Gw olarak Cisco 1700 Serisi Routerin FastEth0 bacağına yani 10.10.10.54 ip adresini görmektedirler. Routerimizin diğer bacağı Serial0 ile Solmaz Holding ile görüşmek üzere Telekom alt yapısına bakmaktadırlar.

Routerimizin Enable Mode içerisindeyken sh ip route diyerek mevcut route tablosunu görebiliyoruz. Yukarıda ki resimden de anlaşılacağı gibi ADSL modemimiz ile ilgili herhangi bir iletişim kaydı olmadığı için internet erişimi sağlanamamaktadır.

Routerimizin yapılandırma modu olan config mod içerisine geçerek bir statik route (yönlendirme) kaydı giriyoruz. Bu kaydımız Windows işletim sisteminde girmiş olduğumuz route add komutuyla hemen hemen aynıdır. Girmiş olduğumuz komut ip route 0.0.0.0 (gidilecek olan network bilinmiyorsa) ikinci olan 0.0.0.0 ise gidilecek olan networkün subnet maskı bilinmiyorsa 10.10.10.2 numaralı ip (modemimize) adresine yönlendir.

Girmiş olduğumuz bu kayıtsan sonra routerimiz üzerinden internet erişimine çıkışımız sağlanmış olmaktadır. Routerimiz Solmaz Holding networkünü biliyor ve Modemimize yönlendirme yapmadan Serial 0 bacağından karşı networke route (yönlendirme) yapmakta ve herhangi bir internet sayfasının ip adresini bilmediği için de modemimize soruyor ve modemimiz ise Gw olarak TurkTelekomun kendisine bakan bacağını gördüğü için internet erişimini sağlamış oluyor.

Kayıt girildikten sonra tekrardan enable mode içerisinde sh ip route komutunu yazdığımız zaman en aşağıda olan Sub Zero kaydını ki Cisco mataryellerinde hedefi bilinmeyen paketleri yönlendirmek için girilen kayıt olarak geçer ve S* olarak ifade edilmektedir görebiliyoruz.

Artık networkümüzün yapısına hiçbir müdahale etmeden sadece Gw olarak Cisco Routerimizi gören bütün bilgisayarların bu kayıt sayesinde internete erişimlerini sağlamaktayız.

Routerların asıl amaçlarını yazımızın başında da belirttiğimiz gibi sadece bir noktadan bir noktaya yönlendirme yapmaktır. Bizler sub zero kaydı girerek bir noktadan bir çok nokta olan internete route etmeyi başardık. Ve bilindiği üzere Cisco routerlar üzerinde güvenlik için kullanılan Accest Listler (erişim listeleri) mevcutudur ve girilen kayıtlar neticesinde bir yerden bir yere gider iken gelen paketin, gidecek paketin, nereden hangi yol üzerinden hangi iletişim protokolünü kullanarak yönlendireceğini veya kısıtlayacağını belirlememize, networkümüzün güvenlini sağlamamıza yardımcı olan komutlar vardır. Bizler bu komutları kullanarak Bir Cisco Routerimizi; bir Cisco PİX, ASA veya bir başka donanımsal veya yazılımsal bir Firewall olarak yapılandıramasakda basit anlamda bir Cisco Routeri Firewall olarak yapılandırabileceğiz.

Accest Listleri basit anlamda anlatmamız gerekirse, yazılma çeşitlerine göre Standart ve Extended olarak ikiye ayırabiliriz.

Standart Acces listler uygulanan ip pakelerinin tüm prtokoller için geçerli olup, uygulanmak istenen adresin kaynağına (source) bakılarak engelleme yapılır.

Extended Acces listler ise uygulanan ip paketlerinin protokol (port) bazlı (sadece web erişim portuna 80 , telnet portuna 23, Rdp portuna 3389, FTP Portuna 21 vb. ) engelleme yapılmak için uygulanır ve hedefe (destination) en yakın yere uygulanmaktadır.

Yukarıda ki resimde de görüldüğü gibi default olarak hiç bir router üzerinde herhangi bir access List uygulanmamıştır ve yapılandırmalar neticesinde bütün yönlendirmelere izin vermektedir.

Şimdi Adım adım bir routerimizin üzerinden geçen internet erişimlerini, IP bazlı engelleyelim.

Bu yapılandırmada bilmemiz gereken en önemli nokta bu accest listler ile ne bir Cisco Pix gibi geniş çaplı bir Firewall nede bir ISA server gibi içerik engelleyici (web filteri, içerik engelleme, Url yönlendirme vb.) işlemleri yapmamız mümkün değildir.

Yapacağımız Accest Listler ile bir donanımsal Firewall’ a sahip olduğumuzu düşünelim ve yazılımsal bir Firewall olan Isa server ile routerimiz üzerinde ki Firewall’ı kıyaslayalım.

Isa Server bir Yazılımsal Firewall dır ve network içersinde bulunan kullanıcıları, eğer Domain yapısına üye olarak yapılandırıldıysa isim bazlı engelleme dahi yapabilmektedir. Routerimiz ise Osi katmanları çerçevesinde Layer 1-2 ve 3 ncü katmanında çalıştığı için ve OSI katmanları içerisinde sadece IP ce mac adreslerini tanıdığı için sadece ama sadece IP ve Port bazlı engelleme yapabilmektedir.

Isa Serverimiz Yazılımsal olduğu için içerik engelleme konusunda web sayfaları üzerinde bulunan istenmeyen içerikleri tanımakta, bilmekte ve bu sayede istenmyen dosya uzantılarını bildiği için içeriğini engellemektedir, Routerimiz ise gene Osi katmanlarının 1,2 ve 3 ncü katmanında çalıştığı için bu içerik engellemeyi tanımadığı için yapamayacaktır.

Kısacası Isa serverin yapmış olduğu gibi Osi katmanlarında bulunan Layer 4-5-6 ve 7 nci katmana çıkmadan IP ve Port bazlı bütün engellemeleri yapabileceğiz. Zaten Cisco Pix, Asa dahi bu şekilde çalışmakda olup Osi nin diğer katmanları ile ilgili diğer engellmeler yapılmak istenildiği zaman Websense gibi yazılımsal bir program ile bütünleşik çalışarak Firewall hizmetini sunmaktadır.

Bu kısa bilgiyi verip Accest Listler ile çok fazla şeyler beklememeniz konusunda gerekli uyarıyı yaptıkdan sonra Cisco Routerimizi Firewall olarak yapılandırmamıza başlayabiliriz

İlk olarak routerimizin yaplandırma bölümü olan Config Mod içerisinde access-list diyoruz ve komutun devamını bilmediğimizi düşünerek soru işaretine basıyoruz.

Çıkan menüde kullanabileceğimiz komutlar karşımıza çıkmaktadır. Biz port bazlı engelleme yapacağımız için Extended accesst list kullanacağız ve access listlerin kullanmış olduğu numarayı bizlere göstermektedir. 100 ile 199 arasında herhangi bir access list numarasını kendimize belirliyoruz. Bu bölümü daha kolay açıklamak için Isa server üzerinde kural oluşturduğumuz zaman kuralımıza vermiş olduğumuz isme benzetebiliriz.

Komutumuzun devamına 101 diyerek tekrardan komutun devamı için soru işareti ile ihtimalleri soruyoruz. Yapmak istediğimiz Access List engelleme olacağı için deny diyerek komutumuzu (kuralımızı) yazmaya devam ediyoruz.

TCP bazlı bir engelleme yapacağımızı belirtiyoruz. Komutumuzun devamına gerekli olan TCP yazıp soru işareti ile tekrardan komutumuzun devamını yazmaya devam ediyoruz.

Sıra geldi kimi engelleyeceğiz. Engellenecek olan kaynak bilgisayarı belirtiyoruz. Sadece tek bir Host’u (bilgisayarı) engelleyeceğim için host yazarak devam ediyorum.

Diğer kural yazımı ile bilgi vermem gerekirse eğer A.B.C.D olarak yazılı olanı kullanırsam eğer kaynak bilgisayarın ip adresini yazıp subnet maskı Wild Card Mask (mevcut subnetin tam tersi yazılımı ile kullanmam gerekecekti ki yani subnetin 0 rakamlarının 1 ler rakamı grubu ile yer değişmesi sonucu oluşacak olan subnet maskını yazmam gerekecekti.)

Örnek :

Subnet mask : 255.0.0.0 Wild Card Mask : 0.255.255.255

Subnet mask : 255.255.0.0 Wild Card Mask : 0.0.255.255

Subnet mask : 255.255.255.0 Wild Card Mask : 0.0.0.255

Subnet mask : 255.255.128.0 Wild Card Mask : 0.0.127.255

Veya any dersem eğer ileride uygulayacak olduğum bu Accest Listi, uygulayacak olan interfacemin bağlı olduğu bütün bilgisayarları kapsayacağını belirtecektim.

Komutumuza Host diyerek devam ediyorum. Tek bir bilgisayarı engelleyeceğim.

Engellemeyi uygulayacak olduğumuz hostun sahip olduğu ip adresini (10.10.10.112 numaralı ip adresine sahip bilgisayara kısıtlama uygulayacağım) yazdıktan sonra tekrardan soru işaretini yazarak devamında gelecek olan soruyu soruyorum ve nereye giderken engelleneceğini soruyor bizere. Cevabımız any (herhangi bir yere giderken, web erişimini kısıtlayacağım için herhangi bir yere diyerek her yeri kısıtlıyorum)

Bu bölümde eğer belirli web sayfalarının kısıtlanmasını istiyorsak, gerekli sayfaların ip adreslerini A.B.C.D cinsinden olarak Wild Card mask girerek uygulayabiliriz. Tabi burada da şöyle bir problem ortaya çıkmaktadır. Örnek olarak bizler google nin 66 bloklu ip adresinden sahip olduğu bölümü yazarsak, google web sayfası birden fazla ip adresine sahip olduğu için diğer ip bloğun dan hostumuzun isteğine cevap verecetir. Veya şöyle bir seçenek varmı diye soranlar olursa eğer; Isa server için bir çok web sayfasında bulunan URL listeler bu accesst listler içinde IP bazlı olarak varmıdır? Şayet ben görmedim J

Yazmış olduğumuz kural bir extended access list olduğu için port bazlı yapılandırmış oluyoruz ve port numarasını girebilmek için eq yazarak port numarası yazmak üzere komutumuza devam ediyoruz.

Eğer yasaklamak istediğimiz protokolün kullanmış olduğu port numarasını biliyorsak direk olarak yazabiliriz, şayet bilmiyorsak daha önceden yaptığımız gibi soru işareti sorarak kullana bileceğimiz port isimlerini bizlere göstermektedir. Bizler web erişimini yasaklayacağımız için 80 portunu yazıyoruz. 80 numaralı www (web erişim portu) listenin en altlarındadır. Güncel port numaralarını http://www.iana.org/assignments/port-numbers adresini ziyaret ederek öğrenebilirsiniz.

Ve sonunda kuralımızı yazmayı tamamlamış bulunmaktayız. Yazmış olduğumuz kuralımızı açıklayacak olursak eğer.

Access-list 101 extended bir erişim kuralı olduunu yani port veya protokol bazlı engelleme veya izin verebileceğimizi, deny bu access listin bir yasak kuralı olduğunu, engellemenin TCP protokolü ile yapılacaını host 10.10.10.112 ise bu yasak kuralının bu ip adresine sahip bilgisayara uygulanacağını, any herhangi bir yani bütün hedeflere uygulanacağını eq 80 ise web erişimleri için olduğunu bizlere söylemektedir.

NOT : Access listleri yazmasını biliyorsak eğer yukarıda ki resimde ki gibi direk komutu yazabiliriz. Ben makale yazımını konuyu açıklayarak yaptığım için her bölüm için soru işareti girerek yazmayı uygun gördüm.

Bizler bu accest listi yazdık ama henüz uygulamadık. Access listler ile bilinmesi gereken iki ana kural vardır ve bunların birincisi

Hazırlanan bütün access listler muhakkak bir interfaceye ki kuralın standart veya extended olma özellğiine göre hedefin destination (hedef) bölümüne veya source (kaynak) ‘ ın en yakın yerine uygulanmalıdır.

İkincisi ise bir accesst list yazılmadan önce bir router üzerinde bulunan bütün yönlendirmeler çerçeveside girilen kayıtları gerçekleştirmekteydi. Bizler access listleri yazıp uyguladık dan sonra artık yönlendirmenin haricinde güvenlik için access listlere de bakılması konusunda istemeden de olsa bir kural girmiş olduk. Bunun da açılımı biz access listimize herhangi bir permit (izin kuralı) yazmak ise eğer ilgili hostun sadece web erişimini yasaklamış olmuyor router üzerinden geçen bütün yönlendirmelerin yasaklanmış olduğunu belirtiyoruz. Ve routerimiz üzerinde daha önceden uyguladığımız kuralların işlemine devam edebilmesi için bir izin kuralı yazmamız şarttır.

Yazmış olduğumuz yeni access list bir önceki access listimiz deki gibi aynı grubdan (101) ve izin kuralıdır. Her hangibir yerden herhangibir yere giderken izin verilmiştir.

Routerimizin enable modunda iken uygulanan access listleri sh run komutu ile görebiliyoruz. Yukarıda belirtmiş olduğumuz izin kuralını biraz daha açıklamak gerekirse. Routerimiz ilk satırda gerekli host için web erişimini yasakladı. 10.10.10.112 ip numaralı bilgisayar web erişimine gideceği için bu kurala takılacak ve web kaynaklarına erişemeyecek. Pekala network içerisinde bulunan diğer makineler 10.10.10.112 ip adresi haricinde ki diğer makinelere bu kural uygulanacak mı? Elbette ki hayır. Onun için yukarıdan aşağıya doğru uygulanan kurallar sırasıyla kontrol edilecek. Biz ikinci satırda yazmış olduğumuz izin kuralını yazmasaydık eğer routerimiz access listleri uygulamadan önce ki gibi geçişe izin vermeyecek, gerekli işlemin, yönlendirmenin amacı bilinmediği için access listlerin tabi özelliği olan implicit deny güvenlik için bilmediğim eyleme izin vermedim, yok ettim kuralını uygulayacaktı. Bunu daha iyi anlamak için Isa nın default rule’ sini göz önüne getirin ve en alt bölümde olması gereken bütün erişimlerin yasaklandığı kuralına benzetebiliriz.

Isa Serverden örnek vermişken eğer bizler birden fazla izin kuralı yazsaydık Isa serverin Up (kuralı bir üstteki kuralın üstüne almak) down (kuralı bir önceki kuralın altına almak ) gibi bir kolaylığı Routerimizin Access listlerin de yoktur. Bu şekilde kuralımıza örnek olarak bir başka hostuda engellemek istersek eğer ilk önce permit kuralını sileceğiz, daha sonra ilgili host için deny kuralını yazacağız ve tekrardan paketlerin implicit deny kuralına mağruz kalıp yok edilmemeleri için bir permit (izin) kuralı yazacağız veya routerimizin üzerinde bulunan sh run komutu ile access listleri bir yazı düzenleyicisinin (word vb.) içine alıp gerekli düzenlemeleri yapıp tekrardan routerimizin içine kopyalayacağız.

Yazımızın daha önce ki bölümünde access listlerin çalışabilmesi için muhakkak bir interfacesine uygulanması gerektiğini belirtmiştik. Routerimizin uygulanması gereken interfacesi sub zero kaydının (yönlendirmenin) olduğu fast eth0 network kartıdır. FastEth0 Networkünün içerisine girp yazmış olduğumuz access listin uygulanması için ip access-group 101 (oluşturduğumuz extended access listin numarasını) yazıyoruz ve  network kartımızın girişine uyguluyoruz.

Access Listin uygulanması ile birlikte routerimiz 10.10.10.112 hostu için 80 portunu kullanan web erişimini yasaklamaktadır ve bu ip adresine sahip hostumuz artık 80 portu üzerinden web kaynaklarına erişemiyor ama 21 numaralı protokolü kullanan FTP hizmetini yukarıda görüldüğü gibi hizmete sunmaktadır. Eğer biz FTP prokolünüde yasaklamak istersek eğer permit (izin) kuralımızın hemen üzerinde olmak şartıyla

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 80

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 21

Router(config)#access-list 101 permit ip any any yazıp uygulamamız gerekecek.

Bu işlemden sonra host makinenemiz hem FTP hemde Web erişimini gerçekleştiremeyecek ama bu seferde pop3 (25 numaralı protokol), smtp (110), RDP (3389) gibi protokolleri kullanabilecekitir.

İhtiyacımıza göre bu protokolleri tek tek yasaklayabiliriz. Yasaklamadığımız bütün protokoller haricinde kalan protokoller ise en alt satırda bulunan permit kuralına tabi tutularak izin verilecektir.

Networkümüz içerisinde bulunan diğer bilgisayarların internet erişimlerini kontrol ettiğimiz de ise 10.10.10.113 numaralı ip adresine sahip bilgisayarın herhangi bir yasaklama kuralına takılmadan web ve diğer kaynaklara erişimde bulunduğunu görebilmekteyiz.

Standart Access Listlere geçmeden önce Extended Access Listlerin kullanım amaçlarını toparlayacak olursak Extended Access Listler Port ve Protokol bazlı kural uygulamamıza imkan tanıyan ve uygulanma yeri olarak kaynağa en yakın yere uygulanan access listlerdir. Bu kaideye göre yazmış olduğumuz access listi biz kaynağımıza (fakaonline networkü içerisinde bulunan ve web erişimini yasaklamış olduğumuz bilgisayardır) en yakın yere (routerimizin kaynak bilgisayarın iletişim kurmuş olduğu en yakın yeri olan FastEth0 portu) uyguladık.

Standart Access Listler ise engellenmek istenen bilgisayarın,networkün iletişimde kulunmak istediği bütün protokol ve portlar için geçerli olup hedefe en yakın yere uygulanan access listlerdir. Yukarıda ki resime göre yazacak olduğumuz standart Access List örneği Solmaz Holding Network’ü içerisinde bulunan 10.10.20.100 ip adresine sahip bilgisayarın, Fakaonline networkü ile iletişimde bulunmasını istemiyoruz ve bu bilgisayar için yazmış olduğumuz standart access listi hedefe yani Solmaz Holding networkü içerisinde bulunan 10.10.20.100 ip adresli bilgisayarın bizim networkümüz ile iletişimde bulunan en yakın yer olan Fakaonline Networkü içerisinde bulunan Cisco Routerimizin Serial0 İnterfacesine uygulayacağız.

Standart Access listler 1ile 99 numarasına sahip oldukları için bu numaralar arasında bir numara veriyoruz. Daha önceden belirttiğimiz gibi Isa server daki kural yazımı çin vermiş olduğumuz kural ismine benzetebiliriz. 5 numarasını uygun gördüm ve kuralımızın devamında engelleme kuralı (deny) olduğunu belirttim ve engellenecek olan bilgisayarı bu sefer wild card maskıni girerek uyguladım. Eğer wild vard mask uygulamasaydım kuralımızı access-list 5 deny host 10.10.20.100 olarak yazabilirdim.

Bu access listi kaynağa yani engellenmek istenen makinenin, korumak istediğiimiz makine-network ile iletişimde bulunduğu en yakın yer olan Routerimiz üzerinde ki Serial İnterfacemize uyguluyoruz.

Bu kuraldan sonra artık Solmaz Holding Networkü içerisinde bulunan 10.10.20.100 ip numaralı bilgisayar fakaonline networkü ile görüşemeyecektir. Eğer biz Solmaz holding networkünün tamamının fakaonline networkü ile görüşmesini istemeseydik veya Solmaz holding içerisinde gerekli VLAN tanımlamaları yapılmış olsaydaı gerekli networkü engellemek için 10.10.20.0 0.0.0.255 olarak yazıp solmaz holding içerisinde bulunan bütün networkü yasaklamış olacaktık.

Yukarıda ki access listleri itiyacınız doğrultusunda doğru bir şekilde yapılandırırsak eğer şirket bütçemize ek bir maaliyet çıkartmadan bir Firewall’a sahip olmamız kaçınılmaz gibi gözükmektedir.

Fakat bu yapılandırma sırasında bizlere en çok sıkıntı yaşatacak olan kısım IP numaralarını tanımlama ve bu tanımlama sırasında oluşacak olan karışıklıkdır. Yazımızın başlarında Routerlar OSI katmanları çerçevesinde Layer 1,2 ve 3 ncü katmanında çalıştıkları için isim çözümlemesi yapamayacaklarını söylemiştik. Eğer daha önceden Routerimizi sistemimiz içerisinde var olan bir DNS serveri tanıtırsak bu problemi de ortadan kaldırmış olacağız ve artık isim bazlı kısıtlamada yapabilecek duruma gelmiş olacağız.

Eğer ortamımız içerisinde bir DNS server yok ise eğer yukarıda ki resimde görüldüğü gibi routerimiz isim çözümlemesini gerçekleştiremeyecektir.

Routerimiz IP adresi olarak 10.10.10.2 numaralı bilgisayarı tanımakta ve bu bilgisayar ile ileşimde bulunmaktadır. Yukarıda ki resimde görüldüğü gibi routerimiz host bilgisayarımız ile PING yolu ile ileişimde bulunabilmektedir.

Biz bu bilgisayarın kullanıcısının ismini biliyorsak ve manuel olarak bu bilgisayarı kullanan kişinin ismini Routerimiza yukarıda ki resimde bulunan komutdaki gibi tanımlama (ip host bilgisayar kullanıcısının isimi kullanmış olduğu blgisayarın ip numarası) yaparsak routerimiz artık bu bilgisayarı isim bazlı olarak çözümleme yapacaktır. Bu komutumuzuda Client bilgisayarlarımızın lmhost bölümüne girmiş olduğumuz manuel kayıtlara benzetebiliriz.

Girmiş olduğumuz kayıtdan sonra görüldüğü gibi artık routerimiz isim yolu ile bilgisayara ulaşmaktadır.

Girmiş olduğumuz bu kaydı access list yazaraken de kullanmakta ve komut yazımında bizlere kolaylık sağlamaktadır.

Yapılandırılması tammen komut ile olduğu için ve her bir ayar içinde birden fazla komut kullanıldığı için unutma şansımız %100 diyebiliriz. Bu düşünülerek bizlere yardımcı olacak ve en çok kullanacağımız komut ? (soruişareti) dir. Bilmediğimiz bir çok komut satırında veya komutun satır başlarında soru işaretine bastığımız zaman gerekli koşturulucak ,girilecek komutun listesinin bilgisi bizlere gösterilmektedir.

Yapılandırmaya başlamadan önce vermek istediğim bir başka ip ucu ise TAB tuşu kullanımıdır.. Bu tuşu kullanarak girmek istediğimiz bir komutun ilk iki veya aynı karakterler ile başlıyorsa eğer komutun ismine göre üç veya dördüncü karakterini yazıp, TAB tuşunu kullanırsak komutumuz otomatik olarak kendiliğinden tamamlanacaktır. Örnek olarak user moddan Privileged (Enable Mod) geçecğimiz zaman satırımıza direk Enable yazmamıza gerek kalmadan En yazıp, TAB tuşumuza basarsak ENABLE komutumuz otomatik olarak tamamlanacaktır.

Cisco cihazlar hakkında bilinmesi gereken en önemli iki ipucunu verdikden sonra bu cihazların yapılandırılmasının hiçte zor olmadığını ve sandığımız gibi soğuk cihazlar olmadığını göreceğiz. Makalemizin sonunda yapabilecek olduğumuz işlemler bir CİSCO router’a

· İsim vermek

· Routarımıza Parola tanımlamak

· Routerımıza vermiş olduğumuz parolamızı GİZLEMEK

· Uzakta bulunan Routerimiza TELNET üzerinden ulaşmak

· İnterface’lerimize IP tanımlamak

· Routerlarımıza DESCIRIPTION (Girişine mesaj) tanımlamak

· Yapmış olduğumuz ayarlarımızı KAYDETMEK

Router>

Kullanıcı modu olup Router üzerinde ki yapılandırmaları sadece görmemize yardımcı olmaktadır. Herhangi bir yapılandırma yapmamız mevcut değildir.

Router#

Privileged mode (özel mod). Routerımızın yapılandırmasını görebilir ve yapılandırailceğimiz bölümdür.

Router(config)#

Global configuration mode

Router(config-if)#

Interface mode

Router(config-subif)#

Subinterface mode

Router(config-line)#

Line mode

Router(config-router)#

Routerumuzu yapılandırabileceğimiz moddur.

Her bölümün kendine öz yapılandırma komutları vardır. Routerımız üzerinde bulunan bütün komutları, istediğimiz modlarda koşturacağımız bilgisi yanlıştır. Doğru yazmış olduğumuz bir komutu, yanlış bir modda (bölüm) altında çalıştırmaya kalkarsak bunu belirten bir hata mesajı ile karşılaşacağız.

User (kullanıcı) moddan Privilege (enable) modda yükselmek için user mod içerisinde en yazıp tab tuşuna basmamız veya direk olarak enable yazıp bir üst moda geçmemiz mümkündür.

Enable mod içerisinden, Global Configured (Routerimizi yapılandırma) Moduna yükseltmek için ise configure terminal (con t) yazmamız yeterlidir.

Routerimızın sahip olduğu bölümleri merdiven olarak tanımlarsak eğer, normal hayatta belki merdivenleri iki iki çıkabiliriz ama bir router üzerinde mod atlayacağımız zaman sırasıyla modları takip etmemiz gerekecektir. Örnek verirsek Kullanıcı modundan, Global Konfigürasyon moduna gidebilmek için Enable moda girmemiz kaçınılmaz bir şarttır.

Routerimizin Konfigürasyon modunda Routerımıza isim vermek için hostname router ismi yazmamız yeterlidir. Vereceğimiz bu isim routerimizin bulunmuş olduğu şubenin ismi (Ank Sb. Kastamonu Şb, İstanbul Sb) Gibi isimler seçebiliriz. Resim dörtde görüldüğü üzere komutumuzdan sonra satırımızın başında Routerimizin ismi yazmaktadır.

üzere komutumuzdan sonra satırımızın başında Routerimizin ismi yazmaktadır.

Routerimiza Parola belirlemek için Enable mod içerisinde enable password belirlediğimiz parolamız (FAKAONLINE.COM belirlemiş olduğum paolam) yazıp enterlamamız yeterlidir.

Resim 5 de belirtilen komutumuzu koşturdukdan sonra artık Enable moda (routerimizi yapılandırma bölümü) geçmek istediğimiz zaman bizden parola istemektedir. Üç sefer yanlış girme hakkımız olup, parolamızı yanlış girdiğimiz zaman bizleri kullanıcı moduna geri göndermektedir.

Eğer parolamızı secret (gizli) hale getirmezsek enble mod içerisinde show runnig-config komutu koşturulduğu zaman ayarlamış olduğumuz yapılandırmamız ile birlikte bizlere parolamızı da göstermektedir.

Parolamızı gizlemek için yapılandırma bölümü içerisinde enable secret parolamız (PASSWORDFAKA belirlemiş olduğum gizli parolamdır) yazmamız yeterlidir.

NOT : Burada belirlemiş olduğumuz parolamız daha önceden belirlemiş olduğumuz parolamızdan farklı olmak zorundadır ve burada belirlemiş olduğumuz parolamız daha baskın olup diğer parolamızı devre dışı bırakacaktır.

Parolamızı gizledikten sonra yapılandırmamıza baktığımıza parolamızın algoritmasını bizlere göstermektedir.

Uzakta bulunan subelerimizde ki routerlarımızı veya bir destek firmasıysak müsterilerimizin routerlarını merkezden, iş yerimizden yapılandırmamız gerekebilir. Uzakta yönetebilmemiz için gerekli olan servis Windows işletim sistemimizde bulunan Telnet servisimizdir. Command Promtdan routerimizin dış bacağına telnet attığımız zaman gerekli yapılandırmaları yapabiliriz. Yalnız bu işlemi yapabilmemiz için routerimiza bir parola vermemiz zounludur. Aksi takdirde routerimiza giriş yapamamaktayız. Servisin hazır olmadığını belirten bir uyarı mesajı ile karşılaşmamız kesindir.

Routerımızın telnetine parola verebilmek için Konfigurasyon modundan line vty 0 4 komutunu koşturarak bağlantı yapılandırma (config-line) moduna geçiş yapıyoruz.  Bu bölüm altında koşturacak olduğumuz komut ise password belirlemiş olduğunuz parolamız (fakaonline.com benim belirlemiş olduğum telnet parolasıdır) girerek telnet şifremizi belirleyebliyoruz.

Telnet parolası belirledikten sonra artık uzakda ki bir lokasyondan bu lookasyon ister şirketimiz, ister routerimiza bağlı bulunan br merkrzimi, subemiz olmaksızıb routırımızı yapılandırabiliyoruz.

User mod içerisindeyken show ip interface brief (ip adreslerini göster) komutumuzu kullanarak routerımıza tanımlamış olduğumuz ip adreslerini görebiliriz.

Serial İnterface      : Routerimizin dış bacağına bağlı bulunan interfacemizdir.

Ethernet                   : Routerimizin iç bacağıdır. Bazı routerlarda Fast ethernet olarak geçmektedir.

İnterfacelerimizin sonunda bulunan rakamlar ise serial0, ethernet0, ethernet1 vb. routerımızın sahip olduğu serial veya ethernet giriş sayısını belirlemektedir. Routerımızın sahip olmuş olduğu özelliklere göre serial interface sayısı arttırılmaktadır.

Örnek verecek olursak Cisco 2800 model Router üzerinde default olarak bir adet serial interface gelmektedir ve sadece bir subeyi bağlayabiliriz. İleride bu routerimiza başka bir şubemizi daha bağlamak istediğimiz zaman yeni bir serial interface alıp üzerine montajını yaptıkdan sonra gerekli ayarlamadan sonra ikinci ve hatta 3ncü şubelerimizi bu routerimiz üzerinden birbirlerine bağlamamız mümkündür. Alacak olduğumuz Routerimizı tamamen şirketimizin yapısına ve ileriye yönelik açılacak olan şube sayımıza göre belirlememiz ileride oluşabilcek problemlere karşı çözüm olacaktır.

Routerimiz üzerinde bulunan  interfacemize ip tanımlamak için sıraıyla izlenmesi gereken yol

· İnterface ethernet 0 (sıfır ethernet numaramızdır). Routerımız üzerinde bulunan 0 (sıfır) nolu interfacemizin içerisine giriyoruz.

Not : Bazı routerlarda ethernet interface yerine fastethernet olarak geçmektedir. Komutumuzu da sahip olduğumuz router özelliğine göre fastethernet0-1-2 olarak değiştirmemiz gerekecektir.

· İp addres <routerimizin sahip olacağı ip> <network maskı> girip enter tuşuna basıyoruz

· No shutdown komutu ile Ethernet0 nolu interfacemizi aktif hale getiriyoruz. Aktif hale geldikten sonra bağlantıları doğru yapıldıysa eğer interfacemizin up (çalışır) durumda olduğunu belirten otomatik bir mesaj alacağız.

· Exit komutuyla ethernet0 interfacemizin içerisinden çıkıyoruz.

Serial interfacemizide aynı mantık ile yapılandırıyoruz..

Yapılandırmamız dan sonra interfacelerimize vermiş olduğumuz ip leri tekrardan görebiliriz. Protokol olarak herhangi bir bağlantı yapmadığımız için serial interfacemiz bölümünde protokol down (kapalı), ethernet bölümü altında ise protokol up (çalışır durumda) olduğunu görebiliyoruz. Bağlantılar doğru olduğu zaman, Routerimizi GW olarak gösteren bütün host makinlerimiz routerimiza ulaşabilir durumda olacaktır.

Protokolün ne olduğunu anlatmamız gerkirse eğer bir başka router ile bağlantı türüdür.

Cisco cihazlar üzerinde yapılacak olan bağlantı türleri yukarıda bulunan resimde gözükmektedir. Bu protokol yapılandırmalarını diğer makalelerimizde değineceğiz.

Routerimiz üzerinde çalışan Protokol tiplerini görmek için ise show protokols komutunu koşturmamız yeterlidir. Yukarıda belirttiğim gibi, bu resimde demiş olduğumuz açıklamayı onaylamaktadır ve Bağlantılar doğru olduğu zaman, Routerimizi GW olarak gösteren bütün host makinlerimiz routerimiza ulaşabilir durumda olacaktır

Telnet ile routerimiza uzaktan bağlandığımız zaman hangi şubede ki veya hangi müşterimizin routerina bağlandığımızı görmek, yanlış bir routeri yapılandırmayı önlemek için routerimizin girişine başlık koyabiliriz. Bu başlığı koymak için routerimizin konfigürasyon modunda banner motd ŞUBE ISMI komutunu koşturmamız yeterlidir.

Routermiza başlık belirledikten sonra Routerimiz her yapılandırmak üzere içine girdiğimizde bizleri bu başlık karşılayacaktır.

Routerimizin içine girdiğimiz zaman belirlemiş olduğumuz başlıkları ethernet portlarımıza da belirleyebiliyoruz. İsim verecek olduğumuz ethernetimizin içine girdikten sonra desciription ethertnetimizin bağlı bulunduğu departman ismi ni yazmamız yeterlidir.

Routerlarımız üzerinde bu kadar ayarı yaptıkdan sonra yapmış olduğumuz ayarlar routerimiz üzerinde bulunan NWRAM veya Routerımızın özelliğine göre FLASH belleğine kaydedilmektedir. Ayarlarımızı kaydetmek için Enable mod içerisinde copy runnig-config startup-config komutunu koşturduğumuz zaman Routerimizin açılışına bu bilgilerimiz kaydedilmektedir.

· Routerimiz üzerinde bulunan NWRAM imizin, Flash Belleğimizin yeterli olmadığı zamanlarda,

· Routerimizin açılışını hızlandırmak istediğimiz zamanlarda

· Veya yapmış olduğumuz yapılandırmaların bir yedeğini almak istediğimiz zamanlarda

Copy runnig-config tftp tftp server ip adresi komutunu koşturduğumuz zaman routerimiz üzerinde bulunan ve yapılandırmış olduğumuz bütün yapılandırmalar otomatik olarak belirlemiş oluğumuz TFTP serverimiza kaydedilecektir.

Bu teftp serverimiz server işletim sistemine sahip olması zorunlu değildir. Cisco cihazlarımız için TFTP server olarak belirlemiş olduğumuz makinenin üzerine TFTP server yazılım programını yüklememiz ve Routerimiza direk olarak bağlı olması, programımızın çalışır durumda olması yeterlidir.

Örnek TFTP server yazılımları WinAgentTftp, TFTPSrvc2001 , TFTPServer1-1-980730 vb. 3rd Party programları Windows XP yüklü bir makine üzerine yüklesek bile TFTP server olarak kullanabiliriz.

Görüldüğü üzere Cisco Cihazları yapılandırılması hiçde zor olmayan ve sektör içerisinde bulunacaksak eğer bir gün muhakkak karşımıza çıkacak olan yapmış olduğu işlerde kendini kanıtlamış ürünlerdir.

Yapılandırmaları modellerine göre farklılık göstersede, mantığı geçmişten beri hep aynıdır. Bilemediğimiz yerde sormuş olduğumuz soru işareti komutu olduğu sürece çıkacak her yeni routeri yapılandırmamız çok kolaydır.

Terminal Server Teknolojisinin kullanmış olduğu 3389 numaralı portunu değiştirerek hizmetimizin daha güvenli olmasını sağlayacağız. Bu işlemleri yapmadan önce terminal server’ dan özet olarak bahsetmemiz gerekirse, günümüzde bir çok şirket bütçe problemi nedeniyle Terminal Server Teknolojisine ihtiyaç duyarlar.

Zamanla büyüyen bir şirket, sahip olmuş olduğu donanım veya yazılımların, ihtiyaçlarına cevap vermemesi durumunda, işlemlerin yürüyebilmesi için, eski bilgisayarlarını, yazılımlarını güncelleme ihtiyacına mecbur kalırlar. Ve bu şekilde yapılın bir güncelleştirme işlemi, şirket bütcesine aşırı maliyete sebeb olmaktadır. Bu bütçe problemini yaşamak istemeyen bir çok şirket, mevcut bulunan envanterini değiştirmek yerine Güçlü bir Server alarak, mevcut bulunan eski makinelerini, thin clientlerini (aptal terminal), bu güçlü servere bağlayarak, Server’un sahip olmuş olduğu hızı ve performansı bu yavaş olan clientlerimizın hizmetine sunarak çözümler bulmaktadırlar.

Mevcut bulunan Server’ımıza, Control Paneli | Ad or Remove Programs | Ad or Remove Windows Components yolunu takip ederek Terminal Server hizmetimizi kuruyoruz. etmenizi öneriyorum..

Terminal server’ımızın kullanıma hazır olduğunu varsayarak, Güvenliğimizi sağlamak için yapılacak olan ilk işlem olan Registry değişikliği için HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp yolunu takip ederek PortNumber anahtarını açıp, istemiş olduğumuz port numarasının decimal değeri olarak değiştirebiliriz.

İşlemin geçerli olması için makinemizi yeniden başlatmamız gerekecektir.

Güvenliğimizi sağlamanın haricinde, şirket bünyemizde birden fazla Terminal Server varsa eğer, ilgili Registry anaharını değiştirme ihtiyacı tekrardan duyarız.

Terminal Serverımızı dışarıya publish (yayınlamak) için güvenlik sebebiyle ISA Server 2004 kullanacağım. ISA server üzerinde Terminal Server’ımızı yayınlamak için Create New Server Publishing Rule mizi çalıştırıyoruz.

Publish Rulemize bir isim veriyoruz.

Terminal Serverımızın sahip olduğu İp numarasını yazıyoruz.

Protokol tipi olarak RDP (Terminal Services) Server’ ı seçiyorum. Eğer yayınlamak istemiş olduğumuz Terminal Serverımızın Port numarasını güvenlik sebebiyle değiştirmemiş olsaydık Next diyerek işlemimize devam edebilirdik, fakat güvenlik sebebi nedeniyle DEFAULT port numaramızı değiştirmiş olduğumuz için bu bölümde, PORTS bölümü altında gerekli ayarları yapmamız gerekecek.

Değiştirmiş olduğumuz port numaralarını giriyoruz.

Birden fazla Terminal Server yayınlama ihtiyacı duyduğumuz zaman, Resim 3 de yapmış olduğumuz gibi Terminal Serverımıza belirtmiş olduğumuz port numarasını buradan tanımlıyoruz. Biz güvenliğimizi sağlamak için değiştirmiş olduğumuz yeni RDP 3390 port numaramızı tanımlayıp ok diyerek ilgili bölümden çıkıyoruz ve next diyerek ilerliyoruz.

Kuralımızı Finish diyerek bitiriyoruz

Kuralımızı uyguladıktan sonra localde yapacak olduğumuz yapılandırmalarımızı tamamladık. Sıra son aşama olan Client Makinelerimizi yapılandırmaya geldi.

Client makinemizden Terminal Serverimiza bağlanmaya çalışıyoruz.

Client makinemizin üzerinde varsayılan ayar olarak, RDP protokolü TCP/IP 3389 tanımlı olduğu için istek Terminal Serverında 3389 numaralı portuna gitmektedir. Fakat bu portumuzu Güvenlik sebebiyle değiştirdiğimiz için Terminal Server yapılandırmamızı yapmış olsak bile istek başarısız duruma düşüyor.

Bu problemi aşmak için Başlat | Çalıştır |  mstsc –v  Termimal Server İP nosu : atamış olduğumuz port numarası yazmamız bizlere çözüm olacaktır.

Fakat bu şekilde yapmış olduğumuz uygulama, değiştirmiş olduğumuz yeni RDP port numarasını, browserimizda göstermekte ve çalışmamızın bir anlam ifade etmediğini bizlere söylemektedir.

Bu problemi de ortadan kaldırmak için, Terminal Serverımızda yapmış olduğumuz Registry değişikliğinin aynısını Client makinemizde yaparak çözüm bulabiliriz. İşlemin geçerli olması için makinemizi yeniden başlatmamız gerekecek.

Makinemiz tekrardan açıldıktan sonra, terminal server ip numarasının sonuna :port numarası yazmamıza gerek kalmadan ve terminal servere bağlandıktan sonra browser üzerinde port numarasını göstermeden hizmet vermekte ve Terminal Serverimizin güvenliğini sağlamaktadır.

Bir konunun güvenliğinin sağlanabilmesi için bazı temel detayların bilinmesi gerekir. Kablosuz ağların güvenliği konusunun anlaşılabilmesi için güvenliği sağlayacak ya da güvenlik açığına sebep olacak bileşenlerin neler olduğuna bir göz atalım.

Kablosuz Ağ arabirim çalışma modları;

Kablosuz ağ adaptörleri kullandıkları sürücüye ve yapacağı işleve bağlı olarak  dört farklı modda çalışabilir. Bunlar: Managed, Master(hostap), Ad-hoc ve Monitor mod.

Master Mod:  Etraftaki kablosuz ağ istemcilerine hizmet vermek için kullanılan mod. Erişim noktası olarak adlandırılan cihazlarda kablosuz ağ adaptörleri bu modda çalışır.

Managed Mod: Bir erişim noktasına bağlanarak hizmet alan istemcinin bulunduğu mod.

Ad-Hoc Mod: Arada bir AP olmaksızın kablosuz istemcilerin haberleşmesi için kullanılan mod.

Monitor Mod: Herhangi bir kablosuz ağa bağlanmadan pasif olarak ilgili kanaldaki tüm trafiğin izlenmesine olanak sağlayan mod. Kablosuz ağlarda güvenlik konusunda sık sık kullanılan bir moddur.

Promiscious mod ve monitor mod farkı

Klasik yapılan hata promiscious mod ve monitor modun karıştırılmasıdır. Bu iki moda birbirinden tamamen farklıdır.

Monitor mod, bir kablosuz ağ arabiriminin herhangi bir ağa bağlanmadan o ağa ait tüm trafiği izleyebilmesine olanak verir. Promiscious mod ise bir ağa bağlanıldığında o ağda –duruma göre- tüm trafiği izleyebilmenizi sağlar.

Kablosuz ağlarda Wireshark gibi sniffer araçları kullanırken Promiscious mod seçili ise bazen hiç paket yakalayamazsınız. Bu kullandığınız kablosuz ağ adaptörünün ya da sürücüsünün promiscious mod desteklemediğini gösterir.

Yaygın Kablosuz Ağ Yöntemleri;

Kablosuz ağlar temelde iki modda çalışır: bunlardan biri Ad-hoc diğeri de Infrastructure mod olarak adlandırılmıştır. Genellikle, kablosuz ağı kullanım amacımıza göre bu iki mod’dan birini seçme durumunda kalırız.

Ad-hoc Mode:  Bilgisayardan bilgisayara bağlantı Yöntemi:

Ad-hoc mod, iki kablosuz ağ cihazının arada başka bir birleştiriciye(AP) ihtiyaç duymadan haberleşebildiği durumdur. Teknik olarak Independed Basic service set olarak da bilinir(IBSS). Ad-hoc bağlantıları genellikle evde kişisel işlerimiz için kullanırız.  Mesela, bir evde iki bilgisayar ve birinin internet bağlantısı var, diğer bilgisayarı da internete çıkarmak istersek önümüze iki seçenek çıkıyor: ya iki bilgisayar arasında bir kablo çekerek iki bilgisayarı direk birbirine bağlayacağız ya da bir hub/switch alarak iki bilgisayarı bu aracı cihazlar ile konuşturacağız.

Oysa bunlardan başka bir seçeneğimiz daha var -tabi eğer her iki bilgisayarda kablosuz ağ adaptörü varsa-. Bu iki cihazın kablosuz ağ adaptörlerini Ad-hoc modda çalışacak şekilde ayarlarsak ve internete çıkan bilgisayarda bağlantı paylaşımı yaparsak iki makinede özgür bir şekilde interneti kullanabilecektir.

Burada makinelerin Linux, Windows ya da Mac. olması fark etmez. Tanımlanan değerler standartlara uygun olduğu müddetçe her işlemi kolaylıkla yapabiliriz.

Piyasada 20–30 $ dolara bulabileceğiniz USB kablosuz ağ adaptörleri ile ya da kullandığınız dizüstü bilgisayarın kendi sistemi ile kolaylıkla Ad-hoc mod kablosuz ağ kurulabilir.

Kısaca Ad-hoc mod için herhangi bir AP’e gerek duymadan kablosuz ağ cihazlarının birbirleri arasında haberleşmesidir diyebiliriz.

Infrastructure mode: Erişim noktası bağlantı yöntemi

Infrastructure mode ortamdaki kablosuz ağ cihazlarının haberleşmesi için arada AP gibi bir cihaza ihtiyaç duyulmasıdır. Ad-hoc moda göre biraz daha karmaşıktır ve özel olarak ayarlamadıysak işletim sistemimiz bu modu kullanacak şekilde yapılandırılmıştır. Teknik olarak “Basic Service Set” olarak  da bilinir(BSS). Infrastructure modda kablosuz ağ istemcileri birbirleri ile direkt konuştuklarını düşünürler fakat tüm paketler AP aracılığı ile iletilir. Burada ağa dahil olmayan herhangi bir kablosuz ağ cihazının tüm trafiği izleme riski vardır. Bu sebeple Infrastructure mod kullanırken genellikle iletişim şifrelenir. Şifreleme amaçlı olarak WEP ya da WPA gibi protokoller kullanılır. Şifreli iletişimde aradaki trafik izlense bile anlaşılmaz olacaktır.

Kablosuz Ağlarda Güvenlik Önlemleri;

Kablosuz ağlardaki en temel güvenlik problemi verilerin havada uçuşmasıdır. Normal kablolu ağlarda switch kullanarak güvenliğimizi fiziksel sağlayabiliyorduk ve switch’e fiziksel olarak bağlı olmayan makinelerden korunmuş oluyorduk. Oysaki kablosuz ağlarda tüm iletişim hava üzerinden kuruluyor ve veriler gelişigüzel ortalıkta dolaşıyor.

Kablosuz ağlarda güvenlik sağlama amaçlı alınacak temel Önlemler;

Erişim noktası Öntanımlı Ayarlarının Değiştirilmesi

Kablosuz ağlardaki en büyük risklerden birisi alınan erişim noktası cihazına ait öntanımlı ayarların değiştirilmemesidir. Öntanımlı ayarlar erişim noktası ismi, erişim noktası yönetim konsolunun herkese açık olması,  yönetim arabirimine girişte kullanılan parola ve şifreli ağlarda ağın şifresidir. Yapılan araştırmalarda kullanıcıların çoğunun bu ayarları değiştirmediği görülmüştür.

Kablosuz ağların güvenliğine dair yapılması gereken en temel iş öntanımlı ayarların değiştirilmesi olacaktır.

Erisim Noktası İsmini görünmez kılma: SSID Saklama

Kablosuz ağlarda erişim noktasının adını(SSID) saklamak alınabilecek ilk temel güvenlik önlemlerinden biridir. Erişim noktaları ortamdaki kablosuz cihazların kendisini bulabilmesi için devamlı anons ederler. Teknik olarak bu anonslara “beacon frame” denir. Güvenlik önlemi olarak bu anonsları yaptırmayabiliriz ve sadece erişim noktasının adını bilen cihazlar kablosuz ağa dâhil olabilir. Böylece Windows, Linux da dâhil olmak üzere birçok işletim sistemi etraftaki kablosuz ağ cihazlarını ararken bizim cihazımızı göremeyecektir.

SSID saklama her ne kadar bir önlem olsa da teknik kapasitesi belli bir düzeyin üzerindeki insanlar tarafından rahatlıklar öğrenilebilir. Erişim noktasının WEP ya da WPA protokollerini  kullanması durumunda bile  SSID’lerini şifrelenmeden gönderildiğini düşünürsek ortamdaki kötü niyetli birinin özel araçlar kullanarak bizim erişim noktamızın adını  her durumda öğrenebilmesi mümkündür.

Erişim Kontrolü

Standart kablosuz ağ güvenlik protokollerinde ağa giriş anahtarını bilen herkes kablosuz ağa dâhil olabilir. Kullanıcılarınızdan birinin WEP anahtarını birine vermesi/çaldırması sonucunda WEP kullanarak güvence altına aldığımız kablosuz ağımızda güvenlikten eser kalmayacaktır. Zira herkeste aynı anahtar olduğu için kimin ağa dâhil olacağını bilemeyiz. Dolayısı ile bu tip ağlarda 802.1x kullanmadan tam manası ile bir güvenlik sağlanamayacaktır.

MAC tabanlı erişim kontrolü

Piyasada yaygın kullanılan erisim noktası(AP) cihazlarında güvenlik amaçlı konulmuş bir özellik de MAC adresine göre ağa dâhil olmadır. Burada yapılan kablosuz ağa dâhil olmasını istediğimiz cihazların MAC adreslerinin belirlenerek erişim noktasına bildirilmesidir. Böylece tanımlanmamış MAC adresine sahip cihazlar kablosuz ağımıza bağlanamayacaktır. Yine kablosuz ağların doğal çalışma yapısında verilerin havada uçuştuğunu göz önüne alırsak ağa bağlı cihazların MAC adresleri  -ağ şifreli dahi olsa-  havadan geçecektir, burnu kuvvetli koku alan bir hacker bu paketleri yakalayarak izin verilmiş MAC adreslerini alabilir ve kendi MAC adresini kokladığı MAC adresi ile değiştirebilir.

Linux altında MAC adresi değiştirmek bize bir komut kadar uzaktadır.

# ifconfig eth1 hw ether 00:10:09:AA.54:09:56

Ya da mac-changer ile MAC adresi değişimi yapılabilir.

Şifreleme Kullanma

Kablosuz ağlarda trafiğin başkaları tarafından izlenmemesi için alınması gereken teme önlemlerden biri de trafiği şifrelemektir. Kablosuz ağlarda şifreleme WEP(wired equivalent privacy) ve WPA(Wi-Fi Protected Access) olarak adlandırılan iki protokol üzerinden yapılır. Her iki protokol de ek güvenlik önlemleri alınmazsa günümüzde güvenilir kabul edilmez. Internette yapılacak kısa bir arama ile Linux altında uygun bir kablosuz ağ adaptörü kullanılarak tek komutla WEP korumalı ağlara nasıl sızıldığı izlenebilir. Bugüne kadar WEP kullananlara hep WPA’ya geçmeleri ve uzun karmaşık parola seçmeleri önerilirdi. Zira WPA, WEP’in zayıf kaldığı noktaları güçlendirmek için yazılmış bir protokoldü . Fakat 2008’in son aylarında iki üniversite öğrencisinin yaptığı çalışma pratikte WPA’nın ~15 dakika da kırılabileceğini ispat etmiş oldu. Aslında çalışma WPA’da değil WPA’nın kullandığı TKIP(emporal Key Integrity Protocol) bileşenindeki açıklıktan kaynaklanıyordu. Dolayısı ile WPA ve AES şifreleme kullanarak gerçek manada güvenlik elde etmek mümkün.

Sonuç olarak;

–        Erişim noktalarının öntanımlı ayarları mutlaka değiştirilmeli

–        Şifreleme olmadan güvenlik olmaz

–        AP ile İstemci arasındaki MAC adresleri her durumda açık bir şekilde gider

–        MAC adreslerini değiştirmek oldukça kolay

–        WEP/WPA ile korunmuş ağlar ek güvenlik önlemleri alınmazsa güvenli değildir.

Katmanlı güvenlik anlayışı gereğince yukarıda anlatılan yöntemlerin uygulanması güvenliğinizi bir adım daha arttıracaktır.

Kablosuz Ağlarda Keşif;

Kablosuz ağlarda keşif yakın çevrede bulunan erişim noktalarının tespitidir. İşi abartıp WLAN araçlarını arabalarına alarak ya da yaya olarak yol boyunca etrafta bulunan kablosuz ağları keşfetmeye yönelik çalışmalara Wardriving, erişim noktalarının özelliklerine göre(şifreleme desteği var mı? Hangi kanalda çalışıyor vs) bulundukları yerlere çeşitli işaretlerin çizilmesine ise WarChalking deniyor.

War driving için çeşitli programlar kullanılabilir fakat bunlardan en önemlileri ve iş yapar durumda olanları Windows sistemler için Netstumbler , Linux sistemler için Kismet’dir. Kismet aynı zamanda Windows işletim sisteminde monitor mode destekleyen kablosuz ağ arabirimleri ile de çalışabilmektedir.

Kablosuz ağlarda keşif, Pasif ve aktif olmak üzere ikiye ayrılır. Adından da anlaşılacağı gibi aktif keşiflerde keşif yapan kendisini belirtir ve aktif cihazları aradığını anons eder. Pasif keşif türünde ise tam tersi bir durum söz konusudur. Pasif keşif gerçekleştiren cihaz kesinlikle ortama herhangi birşey anons etmez, sadece ortamdaki anonsları dinleyerek aktif ama gizli cihazları belirlemeye çalışır.

Aktif keşif araçlarına en iyi örnek NetStumbler verilebilir. Ücretsiz olarak kullanılabilen Netstumbler çalıştırıldığında kapsama alanında anons yapan tüm aktif cihazları bularak bunları raporlar.

Netstumblerin çalışması ya da bir erişim noktasını keşfetmesi için erişim noktasının kendisini anons etmesi lazımdır.  Yani basit güvenlik önlemi olarak aldığımız SSID saklama işlemi Netstumbler’i şaşırtacaktır.

Pasif keşif aracı olarak kullanılabilen Kısmet ise Netstumbler’a göre oldukça fazla özellik içerir ve kötü niyetli birinin elinde tam donanımlı gizli bir silaha dönüşebilir.

Kısmet, kablosuz ağ adaptörlerine özel bir modda çalıştırarak(monitor mode) etrafta olan biteni izler ve kaydeder. Böylece bulunduğu ortamdaki tüm trafiği görerek aktif, pasif erişim noktası cihazlarını tüm özellikleri ile birlikte belirler. Sadece erişim noktası cihazlarını belirlemekle kalmaz, bu cihazlara bağlı tüm istemci cihazları ve özeliklerini de belirleyebilir daha da ötesinde şifreleme kullanılmıyorsa tüm trafiği dinler.  Yeteri kadar korkutucu değil mi?  Şirket ağınızda kullandığınız makinelerin IP bilgileri vs yabancı ellere gitmesini ister miydiniz?

Kablosuz Ağları Dinleme;

Kablosuz ağlarda veriler havada uçuştuğu için dinleme yapmak kablolu ağlara göre daha kolaydır. Amaca uygun kullanılan bir dinleme aracı ile bir kablosuz ağdaki trafik ağa dahil olmadan rahatlıkla izlenebilir. Linux sistemlerde kablosuz ağ trafiği dinlemek için Kısmet adlı program tercih edilir.

Kısmet, monitoring (rfmon) mod destekleyen kablosuz ağ arabirimleri için düşünülmüş 802.11b, 802.11a ve 802.11g protokolleri  ile uyumlu  kablosuz ağlarda pasif dinleme yapmaya yarayan bir araçtır. Aynı zamanda kablosuz ağlar için pasif keşif aracı olarak ve basit manada saldırı tespit sistemi olarak da kullanılabilir.

Kısmet ile dinleme yapılırken etraftaki erişim noktaları ya da istemciler rahatsız edilmez. Tamamen pasif modda bir dinleme yapıldığı için kablosuz ağları korumaya yönelik bazı saldırı tespit sistemleri kolaylıkla aldatılabilir.  Özellikle şifresiz bir iletişim yöntemi tercih edilmişse Kısmet bu noktada kablosuz ağdaki tüm her şeyi görebilir.

Kısmet ve ek bir iki araç kullanılarak MAC adres tabanlı güvenlik önlemi alınmış kablosuz ağlara kolaylıkla giriş yapılabilir.

Kısmet aynı zamanda kablosuz ağlarda izinsiz giriş tespiti içinde kullanılabilir. Ağa erişim izni olmayıp da giriş deneyiminde bulunan kullanıcılar Kısmet tarafından rahatlıkla belirlenerek raporlanacaktır.

Halka Açık Kablosuz Ağlardaki Tehlikeler;

Kablosuz ağların belki de en işe yarar olduğu durumlar halka açık olanlarıdır. Hemen hemen tüm büyük alışveriş merkezlerinde, lokanta ve kafelerde bu tip ağlara rastlayabiliriz. Bazıları erişim için kullanıcı adı / parola istese de yukarıda anlattığım yöntemler kullanılarak bu tip ağlar rahatlıkla kandırılabilir. Gelelim bu tip ağlardaki risklere;

Öncelikle aynı erişim noktasına bağlı tüm istemcilerin trafiği şifrelenmemiş bir şekilde havada dolaşacaktır. Bunun içinde MSN görüşmeleriniz, e-postalarınız ve ziyaret ettiğiniz siteler de dahil. Ortama dâhil olan birisi basit MITM atakları ile tüm trafiği üzerinden geçirip içeriğini inceleyebilir, ötesinde değiştirebilir.

Başka kimlikte biraz daha paranoyak bir saldırgan gelip ağa dahil olmadan yine tüm trafiği monitor modda izleyebilir hatta eğer bu ortamda Hotmail, Yahoo, Gmail ya da https kullanan sistemlerinize erişiyorsanız saldırgan da  kişisel giriş parolanızı bilmeden ilgili sitelerin size gönderdiği cookieleri çalarak  aynı sistemlere erişebilir.

Diğer bir tehlike de saldırganın trafik izleme için zahmete girmeden ortamda bulunan erişim noktalarından birinin ismini taklit ederek sahte erişim noktası oluşturmasıdır. Böylece bazı kullanıcılar aslıyla ayni isme sahip belki daha iyi çeken sahte erişim noktasına bağlanacak ve buradan işlemlerini yapacaktır. Bu da bir saldırgan için ağına bağlanan tüm istemciler üzerinde mutlak hâkimiyet kurması manasına gelir.

Kısacası halka açık kablosuz ağlarda internet kullanmak buzda dansa benzer. Dolayısı ile dikkatli olmak ve güvenli sörf için uygun araçlar kullanmak gerekir. Bu tip ağlarda internete girmeniz gerekiyorsa ya VPN üzerinden ya da TOR benzeri şifreli iletişim sağlayan networkler üzerinden girmeniz trafiğinizin başkaları tarafından izlenmesini önleyecektir.

Kablosuz Ağ Güvenlik Testleri için Ortam oluşturm ;

Kablosuz Ağlarda güvenlik konusu pratiği zor olan bir konudur. Bunun temelde iki sebebi vardır. Birincisi kablosuz ağ adaptörleri sürücü eksikliğinden genelde Windows altında test yapacak fonksiyonlara sahip değildir. Bu gibi testler için Linux kullanılması çok daha pratik olacaktır.  Diğer bir konu da başkalarının kablosuz ağları üzerinden yapılacak testler etik olmayacağı için kendi kablosuz ağ ortamınızda çalışmalar yapmanız gerektiğidir.  Eğer kullanılan Erişim Noktası(Access Point) paylaşımlı ise yapacağınız testlerden diğer kullanıcılar etkilenecektir.

Bu durumda son çare olarak yeni bir donanım almak kalıyor. Diğer bir yöntem de bir adet USB üzerinden çalışan kablosuz ağ adaptorü alıp Vmware içerisinden bu adaptörü kullanmaktır. Böylece hem mobil bir AP’e sahip olacaksanız hem de kablosuz ağlarda güvenlik testi yaparken Windows’un kısıtlayıcı özelliklerine takılmadan Linux üzerinden istediğiniz işlemleri yapabileceksiniz. Böylece istediğinizde sanal bir AP’ye istediğinizde de Linux altında test yapmak için kullanabileceğiniz kablosuz bir ağ adaptörüne ulaşmış olacaksınız.

Vmware ile Kablosuz Ağ adaptörlerini Kullanma

Gerçek işletim sisteminizde kullandığınız wireless kartları Vmware altında da ayni özelliklerde kullanmak ne yazık ki mümkün olmuyor.  Vmware’den arabirim modunu bridge, nat yapılarak wifi kartınızın yararlandığı baglantı Vmware makineye sağlanabilir. Fakat bu vmware üzerinde wireless bir kart olarak algılanmaz. Sıradan bir ethernet karti gibi Vmware’in kendi sürücülerini kullanarak işlem yapılır.

Bu durumda  Wireless ağlara bağlanıp analiz yapma imkânımız yok. USB bir wifi kartı alıp bunu Vmware’e tanıtarak kullanacaksınız. (Gerçek sisteminizin Windows, Vmware’deki sisteminiz Linux ise ) USB wireless kartınızı Vmware altında gerçek özellikleri kullanabilmek için  Vmware surumu 6.x, Vmware player kullanıyorsanız güncel sürümü olmalı. Bundan sonrası Vmware’in menülerinden usb cihazi Vmware’e wireless kart olarak tanıtmak ve sürücünün sağladığı wireless özelliklerini kullanmaya kalıyor.

Not: Vmware’in kullanacağı usb wireless kartı gerçek işletim sisteminin tanıması gerekmez.

Bu yazının konusu  günlük hayatımızda güvenli olduğunu düşünerek  kullandığımız HTTPS protokolünün güvenliğine dairdir.

Katmanlı Güvenlik Anlayışı

Meşhur bir söz vardır: “biz zincirin en zayıf halkası kadar kuvvetlidir”. Bu söz bilgi güvenliği için de geçerlidir. Zira güvenlik de  bir zincir misali çeşitli katmanlardan(halkalardan) oluşur  ve bir sistemin güvenliği kendisini oluşturan katmanlardan en basiti kadardır. Günümüzde güvenliğin en çok ihtiyaç duyulduğu nokta iletişim dünyasıdır. Bu dünyanın da temelini TCP/IP  oluşturur.

TCP/IP protocol ailesi bundan yıllar önce amacı güvenlik olmayan işler için geliştirilmiş bir protokoldür ve günümüzde ise çeşitli eksiklikleri hissedilmektedir. Bu eksiklikler yeni yeni protokollerle kapatılmaya çalışılsa da temelde olan bir problem tüm sistemi etkileyebilmektedir.

Mesela HTTPS üzerinden çalışan bir uygulamaya güvenli diyebilmemiz için sistemin hangi katmanlardan oluştuğunu iyi bilmek ve bu katmanlardaki güvenlik zaafiyetlerini ölçeklemek gerekir.

Şekilde görüleceği üzere HTTPS bağlantısının gerçekleşmesi için ek 4 protokol daha devreye girer. HTTPS ne kadar güvenli olursa olsun diğer protokollerdeki bir açıklık HTTPS’i de etkileyecektir. Peki HTTPS güvensiz midir?

HTTPS Güvensiz Midir?

Bankalar, online alışveriş siteleri vb. kurumlar için güvenlik denilince akla 128 bitlik şifreleme gelir. Evet 128 bitlik şifreleme günümüz ölçülerinde güvenilir kabul edilse de iş sadece şifrelemeyle kalmıyor, şifreleme ile birlikte kullanılan diğer altyapıların da güvenli olması gerekir.

SSL’in karşı karşıya kaldığı ilk ve önemli saldırı tipi MITM(Man in The middle) ataklardır. MITM tipi ataklarda saldırgan kendisini  istemci (kurban) ile sunucu arasına yerleştirerek  tüm trafiği dinler ve değiştirebilir.

HTTPS bağlantılarında MTIM ile araya giren saldırgan sahte sertifika üretse de sertifika geçerli bir CA kurumu tarafından imzalanmadığı için kullanıcının browserinda hata verecektir. Eskiden browser uyarıları  kolaylıkla atlanabilir, gözden kaçabilir  uyarılardı  fakat günümüzde browserlarin verdiği SSL uyumsuzluk  uyarıları  gerçekten uyarıcı, uyarmanın ötesinde rahatsız edici  olmaya başladı. Özellikle Firefox’un yeni sürümlerinde bu durum belirgin olarak karşımıza çıkmaktadır.

Yukarıdaki çıktıda SSL sertifika uyumsuzluğundan Firefox’un verdiği uyarılar serisi sıraadn bir kullanıcıyı bile sayfadan kaçıracak türdendir.

Dikkatsiz, her önüne gelen linke tıklayan, çıkan her popup okumadan yes’e basan kullanıcılar için bu risk azalsa da hala devam ediyor ama bilinçli kullanıcılar bu tip uyarılarda daha dikkatli olacaklardır. Peki bilinçli kullannıcıların gözünden kaçabilecek ve HTTPS’I güvensiz kılabilecek başka açıklıklar var mıdır?

Bu sorunun kısa cevabı evet, uzun cevabına gelecek olursak…

SSL’in HTTP ile İmtihanı

SSL(HTTPS)’I güvenlik amacıyla kullanırız fakat günümüzde SSL kullanılan çoğu sistemde HTTP ve HTTPS birlikte kullanılmaktadır. Yani once sayfaya HTTP üzerinden girilir, sonra hassas  bilgiler içerecek linklerde HTTPS’e çevrilir. Bu durumad yeni oluşacak HTTPS’in güvenliği buradaki HTTP’e bağlı oluyor.

Firmaların neden sadece HTTPS kullanmadığı sorusuna verilecek en kısa cevap SSL’in sunucu tarafında ek kapasite gerektirmesidir. HTTP ile HTTPS arasındaki yük farkını görebilmek için aynı hedefe yapılmış iki farklı HTTP ve HTTPS isteğinin Wireshark gibi bir snifferla incelenmesi yeterli olacaktır.

HTTP’de oturum bilgisi çoğunlukla  cookie’ler üzerinden  taşındığı düşünülürse eğer sunucu tarafında kod geliştirenler cookilere “secure” özelliği(cookielerin sadece güvenli bağlantı üzerinden aktarılması) eklememişlerse trafiği dinleyebilen birisi hesap bilgilerine ihtiyaç duymadan cookieler aracılığıyla sizin adınıza sistemlere erişebilir.

Bunun için çeşitli yöntemler bulunmaktadır, internette “sidejacking”  ve surfjacking anahtar kelimeleri kullanılarak yapılacak aramalar konu hakkında detaylı bilgi verecektir. Bu yazının konusu olmadığı için sadece bilinen iki yöntemin isimlerini vererek geçiyorum.

Göz Yanılgısıyla HTTPS Nasıl Devre Dışı Bırakılır?

Bu yıl yapılan Blackhat konferanslarında dikkat çeken bir sunum vardı: New Tricks For Defeating SSL In Practice. Sunumun ana konusu yukarda anlatmaya çalıştığım HTTPS ile HTTP’nin birlikte kullanıldığı durumlarda ortaya çıkan riski ele alıyor. Sunumla birlikte yayınlanan sslstrip adlı uygulama anlatılanların pratiğe döküldüğü basit bir uygulama ve günlük hayatta sık kullandığımız banka, webmail, online alış veriş sitelerinde sorunsuz çalışıyor. Kısa kısa ssltrip’in nasıl çalıştığı, hangi ortamlarda tehlikeli olabileceği ve nasıl korunulacağı konularına değinelim.

SSLStrip Nasıl Çalışır?

Öncelikle sslstrip uygulamasının çalışması için Linux işletim sistemine ihtiyaç duyduğu ve  saldırganın MITM tekniklerini kullanarak istemcinin trafiğini üzerinden geçirmiş olması zorunluluğunu   belirtmek gerekir.

Şimdi adım adım saldırganın yaptığı işlemleri ve her adımın ne işe yaradığını inceleyelim;

1.Adım: Saldırgan istemcinin trafiğini kendi üzerinden geçirir. Saldırgan istemcinin trafiğini üzerinden geçirdikten sonra trafik üzerinde istediği oynamaları yapabilir. Saldırgana gelen paketleri hedefe iletebilmesi için işletim sisteminin routing yapması gerekir. Linux sistemlerde bu sysctl değerleriyle oynayarak yapılabilir. (echo “1″ > /proc/sys/net/ipv4/ip_forward)

2. Adım: Saldırgan iptables güvenlik duvarını kullanarak istemciden gelip herhangi biryere giden tüm TCP/80 isteklerini lokalde sslstrip’in dinleyeceği 8000. Porta yönlendiriyor.

İlgili Iptables komutu:  iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 8000

3.Adım)Saldırgan sslstrip uygulamasını çalıştırarak 8000.portu dinlemeye alıyor ve istemci ve sunucudan  gelecek tüm istek-cevapları “topla” isimli dosyaya logluyor.

#sslstrip -w topla –all -l 8000 –f

Şimdi şöyle bir senaryo hayal edelim: Masum kullanıcı ailesiyle geldiği alışveriş merkezinde ücretsiz bir kablosuz ağ bulmuş olmanın sevinciyle mutlu  bir şekilde gelip bilgisayarını açsın ve ilk yapacağı iş  maillerini kontrol etmek olsun.

Ortama dahil olmuş masum bir kullanıcının yaşadığı süreç şu şekilde olacaktır:

İstemci ağa bağlanıp internete erişmek istediğinde ortamdaki saldırgan el çabukluğu marifetle istemcinin trafiğini üzerinen geçirir(ARP Cache poisoning yöntemiyle).

İstemci durumdan habersiz webmail uygulamasına bağlanmak için sayfanın adresini yazar. Araya giren saldırgan sunucudan dönen cevaplar içerisinde HTTPS ile başlayan satırları HTTP ile değiştirir ve aynen kullanıcıya gönderir.

Hiçbir şeyden haberi olmayan kullanıcı gelen sayfada kullanıcı adı/parola bilgilerini yazarak Login’I tıklar.

Kullanıcıdan gelen login bilgisi HTTP üzerinden olduğu için saldırganın bilgisayarında çalışan sslstrip bu bilgileri alır, kaydeder ve yine bu bilgileri kullanarak web uygulamasına HTTPS bağlantısı açar, web uygulamasından dönen cevapları yine içerisindeki HTTPS satırlarını HTTP ile değiştirerek kullanıcıya döndürür.

Böylece istemci farketmeden HTTPS yerine HTTP kullanarak tüm bilgilerini kaptırır.

Böyle bir senaryo, halka açık kablosuz ağlarda, şirketlerin yerel ağlarında, TOR vs gibi ücretsiz proxy hizmeti kullanılan yerlerde yaşanabilir

Nasıl Korunurum?

Bu yazıda anlatılan saldırı yönteminden korunmak sunucu tarafından ziyade istemci tarafını ilgilendirir. İstemci HTTPS olarak gitmek istediği sitelere giderken isteklerinin HTTPS olarak gittiğine dikkat etmeli, ötesinde bu işi kendine bırakmayıp otomatize edecek bir yazılıma bırakmalı.

Firefox kullanıcısıysanız aşağıdaki [3]nolu kaynaktan  indireceğiniz ForceHTTPS ya da Noscript  eklentlerini kullanarak  belirlediğiniz sitelere sadece HTTPS bağlantısı yapılmasını sağlayabilirsiniz.