Professional Documents
Culture Documents
Bu ders içeriğinin basım, yayım ve satış hakları Öğr. Gör. Özkan CANAY ’a aittir. İzin almadan ders
içeriğinin tümü ya da bölümleri mekanik, elektronik, fotokopi, manyetik kayıt veya başka şekillerde
çoğaltılamaz, basılamaz ve dağıtılamaz.
AĞ VE BİLGİ GÜVENLİĞİ
Önsöz
“Bilgi Çağı” olarak adlandırılan 21. Yüzyıl’da bilgi, çok hızlı üretilen ve ona sahip olana
üstünlükler sağlayan önemli bir unsur haline gelmiştir. Süratle değişen ve artan bilginin
paylaşılması ve çoğaltılması her dönem olduğu gibi bugün de stratejik bir öneme sahiptir.
Bilgisayar ağları, bilgi alışverişinin çok hızlı bir şekilde gerçekleştiği günümüz
haberleşmesinin vazgeçilmez araçlarıdır. Son birkaç on yılda hayatımıza giren İnternet,
hızla iş ve sosyal yaşama nüfuz ederek önemli bir yer edinmiştir. Bu durum birçok sorunu
beraberinde getirmiş; bilgisayar ağlarının ve bilgi güvenliğinin sağlanmasını giderek daha
önemli hale getirmiştir.
Bilişim sistemlerine, özellikle bilgisayar ağlarına İnternet üzerinden çok farklı tehditler
gelmektedir. Buna paralel olarak güvenlik teknolojileri de her geçen gün gelişmektedir. Şu
unutulmamalıdır ki, bağlantılı ortamlarda hiçbir zaman yüzde yüz güvenlik yoktur.
Yapılacak iş, gelişen teknolojileri titizlikle takip etmek ve sistemleri güvenli ortamlar haline
getirmeye çalışmaktır.
Hedefler
IP yönlendirmeyi açıklayabilmek.
İçindekiler
4. IP PROTOKOLÜ
4.3. IP Yönlendirme
Çalışma Soruları
Kaynaklar
5 AĞ VE BİLGİ GÜVENLİĞİ
4. IP PROTOKOLÜ
Açık kahverengi zeminli “özellikler” kısmına kadar olan 160 bit (160/8=20
byte) bütün TCP paketleri için geçerlidir. 160’ncı bitten sonrası paketin türüne göre
farklı özellikler alır. Örnek için, Linux işletim sistemi kullanan bir uçbirimde
(terminal) ağ geçidine “ping” atıyoruz:
Sakarya Uygulamalı Bilimler Üniversitesi 6
İlk 32 bit (yani 32/8=4 byte) üzerinde (45 00 00 54) inceleme yaparsak;
8 bitlik bir veriyi 4-4 bölüp kullandığınızda her 4 bitlik alanın 16’lık bir
karşılığı ortaya çıkar. (0 1 0 0)2 = (4)10 = (4)16 ‘dır. (0 1 0 1)2 = (5)10 = (5)16 ‘dır. İkilik
düzendeki bu 8 biti birleşik olarak 16’lık sisteme çevirirseniz yine ayrı hesaplanmış
değerlerin yan yana birleştirilmiş hali elde edilir. Yukarıdaki örnekte de
görülebileceği gibi (0 1 0 0 0 1 0 1)2 = (45)16 ‘tir.
Sakarya Uygulamalı Bilimler Üniversitesi 8
Hizmet tipinde ilk 3 bit paket üstünlüğü (precedence) hakkında bilgi verir.
Üstünlük tiplerinin nasıl kodlandığı tabloda görülebilir.
9 AĞ VE BİLGİ GÜVENLİĞİ
Sonraki “g” biti, gecikme (delay) bayrağıdır (flag) ve “0” değeri normal
gecikmeyi ifade ederken, “1” değeri düşük gecikmeyi gösterir. Daha sonra gelen “i”
bayrağı, işlem hacmini (throughput) verir ve “0” değeri normal işlem hacmini
ifade ederken, “1” değeri yüksek işlem hacmini gösterir. Devamındaki “e” biti
güvenilirlik (reliability) bayrağıdır ve “0” değeri normal güvenilirliği ifade
ederken, “1” değeri yüksek güvenilirliği gösterir. Bunların ardından gelen ve “x” ile
gösterilen bayraklar ise gelecekte kullanılmak üzere rezerve edilmişlerdir.
Örnekteki paketimizde hizmet tipine ait bütün bitler sıfır olduğu için bu paket
rutin önceliğe sahip normal gecikmeli, normal işlem hacmi olan, normal
güvenilirliğe sahip bir pakettir.
Paketimizin toplam boyutu, 84 bayt olduğuna göre ve üst bilgi başlığı (header)
5x32 bit olduğuna göre pakette 84 - (5 x 4) = 64 bayt saf veri bulunmaktadır.
Bu veriler iletişim kuralına göre şekil alır. Örnekteki paketimizin iletişim kuralı
ICMP'dir. Buna göre IP paket yapısının “seçenekler” kısmında protokole uygun
olarak ilave bazı başlıklar yer almaktadır. ICMP protokolünü RFC792 standardında
açıklandığı şekilde incelersek paketin yapısının neden bu şekilde olduğunun ispatını
görebiliriz.
Sakarya Uygulamalı Bilimler Üniversitesi 12
13 AĞ VE BİLGİ GÜVENLİĞİ
Çeşit ve kod bilgisinden (8-0) bunun bir yankı (echo) isteği olduğu görülebilir.
Örnek paketin belirteci (id) 25378, sıra numarası ise 8'dir. 20 byte (5x32
bit=5x4 byte) IP üst bilgi başlığı ve 8 bayt ICMP başlığından sonra 8 bayt minimum
veri olmalıdır. Bu veriler ping programı tarafından çoğunlukla rastgele atanırlar.
Ancak ping yazılımında ağdaki veri kayıplarının inceleyebilmek amacıyla
gönderilecek veri dokusu (pattern) kullanıcı tarafından belirlenebilir. Örneğin:
IP adresi sayısal bir değer olup Internet'e ulaşan her bir cihazın sahip olması
gereken bir adrestir. IP adresleri MAC adreslerinin tersine donanımsal bir adres
değil sadece yazılımsal bir değerdir; yani istenildiği zaman değiştirilebilir. IP
adresleri 32 bit uzunluğundadır ve birbirinden nokta ile ayrılmış dört adet oktet
(sekizlik) rakamdan oluşur. Bu rakamlar 0 ile 255 arasında (28) değer alabilir.
IP adresleri iki kısımdan oluşur. Birinci kısım “ağ adresi” olarak bilinir ve
cihazın ait olduğu ağı belirtir. İkinci kısım ise sistem (host ya da cihaz) adresi olarak
adlandırılır ve IP ağındaki cihazın adresini belirtir. Örneğin 193.140.253.81
şeklindeki C sınıfı bir IP adresinde “193.140.253” ağ adresi, “81” ise sistem adresidir.
15 AĞ VE BİLGİ GÜVENLİĞİ
Alt ağ maskesi ise bir IP adresinden ağ adresini bulmak için kullanılan bir
sayıdır ve IP adresi gibi 8 bitlik 4 parçadan oluşur. Alt ağ maskesi, ağı gösteren
bitlere 1, sistemleri gösteren bitlere 0 konularak bulunur. Örneğin C sınıfı
193.140.253.81 IP adresinin ağ maskesi aşağıdaki gibidir:
1) A Sınıfı Adresler
A sınıfı IP adreslerindeki ilk oktet 0 ile 127 arasında değer alır ve varsayılan
alt ağ maskesi 255.0.0.0’dır. A sınıfı IP adreslerinde ilk oktet IP adresinin yer aldığı
ağı, diğer üç oktet ise o ağ üzerindeki cihazları gösterir. A sınıfı adreslerde ilk oktetin
0 ve 127 olma durumları özeldir. Bu rakamlarla başlayan IP adresleri ağda
kullanılmazlar. Örneğin 127.0.0.1 yerel loopback (localhost) adresidir. Dolayısıyla A
sınıfı IP adresi kullanılabilecek ağ sayısı 27-2=126 'dır. A sınıfı IP adresine sahip bir
ağda adreslenebilecek cihaz sayısı ise şu formülle hesaplanır; 224-2=16.777.214
0 7 BİT 24 BİT
Sakarya Uygulamalı Bilimler Üniversitesi 16
2) B Sınıfı Adresler
B sınıfı IP adreslerindeki ilk oktet 128 ile 191 arasındadır ve kullanılan alt ağ
maskesi 255.255.0.0 ‘dır. Bunun anlamı B sınıfı IP adresinde ilk iki oktet ağ adresini,
diğer iki oktet ise adreslenecek cihazları gösterir. B sınıfı IP adresinin
kullanılabileceği ağ sayısı 214=16.384 ve her bir ağda kullanılabilecek cihaz sayısı ise
216-2=65.534 'tür. Örnek bir B sınıfı IP adresi 160.75.10.110 olarak verilebilir.
1 0 14 BİT 16 BİT
3) C Sınıfı Adresler
C sınıfı IP adreslerinde ilk oktetin değeri 192 ile 223 arasında olabilir ve
varsayılan alt ağ maskesinin değeri 255.255.255.0’dır. Yani bu tür bir IP adresinde
ilk üç oktet ağ adresi, son oktet ise adreslenecek cihazları belirtir. Örneğin
192.168.10.101 IP adresini inceleyelim. Bu IP adresi C sınıfı bir IP adresidir. Verilen
IP adresinin C sınıfı bir adres olduğunu ilk oktetin değerine bakarak anladık. Bu IP
adresinin ait olduğu ağın adresi ise 192.168.10'dur. Bu IP adresine sahip cihazın
sistem (host) numarası ise 101'dir. C sınıfı IP adreslerinin kullanılabileceği ağ sayısı
221=2.097.152 ve bu ağların her birinde tanımlanabilecek cihaz sayısı ise
28-2=254'tür (0 ve 255 değerleri cihazlara atanamaz).
1 1 0 21 BİT 8 BİT
4.3. IP Yönlendirme
Yönlendirme işlemi genel bir ifadeyle, veri paketlerin birbirlerine bağlı ağlar
arasında iletilmesidir. Yönlendirme, Internet Protokolü'nün (IP) en önemli
görevidir ve diğer ağ protokol hizmetleriyle birlikte veri paketlerini ayrı ağ
kesimlerinde yer alan bilgisayarlar arasında iletmek amacıyla kullanılır.
Her IP veri biriminde bir kaynak ve bir hedef IP adresi vardır. Her
bilgisayardaki IP katmanı hizmeti, gelen veri biriminin hedef adresini inceler, bu
adresi yerel olarak tutulan bir yönlendirme tablosuyla karşılaştırır ve sonra ne tür
iletim işlemleri yapacağına karar verir. IP yönlendiricileri iki veya daha çok IP ağ
bölütüne (parçasına) bağlıdır ve aralarında paket iletebilmektedirler.
Sakarya Uygulamalı Bilimler Üniversitesi 18
IP Yönlendiricileri
IP Yönlendirme Tabloları
Bir IP ağında yerel bilgisayarla iletişim kuran her bilgisayar veya ağ için bir
yönlendirme tablosu tutulabilir. Ancak böyle bir uygulama pratik olmayacağından,
bunun yerine gerektiğinde IP yönlendirme işlevini yürütecek bir varsayılan ağ
geçidi (gateway) kullanılır.
32 bitlik adres yapısına sahip olan ve yaklaşık 4.3 milyar farklı cihazı
adresleyebilen IPv4 protokolü, İnternet kullanımının yaygınlaşması ve IP adresi
gerektiren cep telefonları, tabletler, IP telefonlar, ağ yazıcıları, dijital fotoğraf
makineleri gibi akıllı cihaz çeşitliliğinin son birkaç on yılda hızla artmasıyla birlikte
yetersiz kalmaya başlamıştır. Bunun yanında, bağlantı hızlarında yaşanan
gelişmeler ile güvenlik ve verimlik konularındaki beklentilerin değişmesi
sonucunda yeni bir IP sisteminin meydana getirilmesi kaçınılmaz hale gelmiştir.
IPv6'da adresler 128 bittir, bu nedenle IPv6 adres uzayı oldukça büyüktür
(2128=~3.4 x 1038). IPv6'da adresler, onaltılık (hexadecimal) sistemdeki 4 basamaklı
rakamların iki nokta üst üste (:) ile birbirlerinden ayrıldığı 8 grup olarak temsil
edilmektedir. Örnek olarak; 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A
IPv4 IPv6
Adresler 32 bit uzunluğundadır. Adresler 128 bit uzunluğundadır
IPsec desteği mecburi değildir. IPsec desteği mecburidir.
IPv4 başlığında paket akışını tanımlamak IPv6 başlığında bulunan "Flow Label" alanı
için yönlendiricilerin kullanabileceği QoS yönlendiriciler tarafından paket akışını
tanımlamaları yoktur. tanımlamak için kullanılabilir.
Paketin parçalanması işlemi Paketin parçalanması işlemi yönlendiriciler
(fragmentation) hem yönlendiriciler hem tarafından yapılmaz. Sadece paketi
de paketi gönderen istemci tarafından gönderen istemci tarafından yapılır.
yapılır.
Paket başlığı sağlama toplamı (checksum) Paket başlığı sağlama toplamı (checksum)
içerir. içermez.
Paket başlığı sağlama seçenekleri Tüm seçimli veri, IPv6 uzantı başlıklarına
alanı içerir. (extension headers) taşınmıştır.
ARP, IPv4 adreslerini bağlantı katmanı ARP Request paketleri multicast Neighbor
adreslerine dönüştürmek için ARP Request Solicitation mesajlarıyla değiştirilmiştir.
paketleri kullanır.
Local subnet grup üyelikleri Internet Group IGMP’nin yerini Multicast Listener
Management Protocol (IGMP)kullanılarak Discovery (MLD) mesajları almıştır.
yönetilir.
En iyi varsayılan ağ geçidini bulmak için "ICMP Router Discovery" yerine "ICMPv6
ICMP Router Discovery kullanılabilir; fakat Router Solicitation" ve "Router
kullanımı zorunlu değildir. Advertisement" mesajları kullanılması
zorunludur.
Ağdaki tüm düğümlere trafik IPv6 "broadcast" adresi bulunmamaktadır.
gönderebilmek için broadcast adresleri Bunun yerine "link-local scope all-nodes
kullanılır. multicast" adresi kullanılır.
Yapılandırılması elle veya DHCP Elle veya DHCP kullanmak gerekmeden
kullanılarak yapılır. otomatik olarak yapılandırılabilir.
Bilgisayar isimlerini IPv4 adreslerine Bilgisayar isimlerini IPv6 adreslerine
çevirmek için DNS sisteminde A kaydı çevirmek için DNS sisteminde AAAA kaydı
kullanılır. kullanılır.
IPv4 adreslerini bilgisayar isimlerine IPv6 adreslerini bilgisayar isimlerine
çevirmek için IN-ADDR.ARPA DNS alanında çevirmek için IP6.ARPA DNS alanında PTR
PTR kaydı kullanılır. kaydı kullanılır.
576-byte uzunluğundaki paket boyutlarını 1280-byte uzunluğundaki paket boyutlarını
desteklemek zorundadır. desteklemek zorundadır.
23 AĞ VE BİLGİ GÜVENLİĞİ
Çalışma Soruları
3. IP yönlendirmeyi açıklayınız.
Kaynaklar
3. https://technet.microsoft.com/tr-tr/library/cc785246(v=ws.10).aspx
4. https://tr.wikipedia.org/wiki/IP
5. http://www.inf.ed.ac.uk/teaching/courses/cs