1 İnternet Adresleri
1.1 IP Adresleme
1.2 IPV4 Adresleme
1.2.1 Adres Sınıfları
1.2.2 A Sınıfı IP Adresi
1.2.3 B Sınıfı IP Adresi
1.2.4 C Sınıfı IP Adresi
1.2.5 D ve E Sınıfı IP Adresleri
1.2.6 Genel ve Özel IP Adresleri
1.2.7 Alt Ağlar, Ağ Maskesi ve Yayın Adresi
1.2.8 IPV4 Header (Başlık) Yapısı
1.3 IPV6 Adresleme
1.3.1 IPV6 Nedir
1.3.2 IPV5'e Ne Oldu
1.3.3 Yeni Bir IP Protokolüne Niçin İhtiyacımız Var
1.3.4 IPV6'nın Getireceği Avantajlar
1.3.5 IPV6 Adres Formatı
1.4 IP Adreslerinin Kullanımı
2 IPSEC
2.1 IPSEC Nedir?
2.1.1 Transport Mode
2.1.2 Tunnel Mode
2.1.3 Integrity
2.1.4 Authentication
2.1.5 Confidentiality
2.1.6 Authentication Header (AH)
2.1.7 Encapsulating Security Payload (ESP)
2.1.8 Güvenlik Görüşmeleri (Security Negotiotion)
2.1.9 Anahtar Yönetimi
2.2 Windows 2000'de IPSEC Uygulaması
3 Kaynakça
İnternet Adresleri
İnternete bağlı her bilgisayarın kendine özgü bir adresi vardır. DNS (Domain Name System-Alan Adı Sistemi) olarak adlandırılan hiyerarşik bir isimlendirme sistemi ile(Internet adresi), internete bağlı bilgisayarlara ve bilgisayar sistemlerine isimler verilir. DNS de aslında bir TCP/IP servis protokolüdür. DNS, “host” olarak adlandırılan internete bağlı tüm birimlerin yerel olarak bir ağaç yapısı içinde gruplandırılmasını sağlar. Bu şekilde, bütün adreslerin her yerde tanımlı olmasına gerek kalmaz. Örnek olarak, itu.edu.tr onun altında da, titan.ehb.itu.tr vb. şeklinde dallanmış birçok adres olabilir.Her bir internet adresine 4 haneli bir numara karşılık gelir. a.b.c.d şeklindeki bu numaralara IP (Internet Protocol) numaraları denir. Burada a,b,c ve d 0-255 arasında değişen bir tamsayıdır (32 bit adresleme sistemi). Örnek olarak aurora.eng.bahcesehir.edu.tr için bu numara 193.255.84.10’ dur.Her internet adresinin ilk kısmı bulunduğu domain’ in network adresini, son kısmı ise makinenin (host) numarasını verecek şekilde ikiye bölünür. Bir bilgisayar ağında bulunan makinelerin miktarına göre makine numarası için ayrılan kısmın daha büyük veya daha küçük olması gerekebilir.Bu domain adreslerinin dağıtımı NIC (Network Information Center) tarafından yapılır,daha sonra her domain sahip olduğu adresi kendi ihtiyaçlarına göre parçalayarak dağıtabilir.
Bilgisayarlar birbirlerini IP numaralarından tanırlar. İnsanların aklında kolay kalsın ve hiyerarşik yapılanma rahat yapılsın diye bunlar alt ağlar, makine adları gibi isimlendirmelere tabi tutulurlar. Yukarda görüldüğü gibi, internete bağlı her bilgisayarın (teorik olarak) bir IP numarası ve o numaraya karşılık gelen de bir gerçek adı vardır. İki mekanizma arasındaki dönüştürmelerden DNS sorumludur.
IP Adresleme
IP adresi, ağ üzerinde bulunan makinenin adresini ifade eder. Bu adres ile bir makine diğerlerine ulaşma imkânı bulur. Ağ üzerinde bulunan herhangi bir bilgisayarı ifade etmek için 32 bitlik bir IP adresi kullanılır. TCP/IP protokolü kullanılan bir ağda her bilgisayarın mutlaka bir IP adresi olmak zorundadır. IP adreslerinin atanması son derece kolay bir işlem olmasına karşın bu adresler atanırken göz önünde bulundurulması gereken birkaç önemli husus vardır. Atanan IP adreslerinin ağ içerisinde “eşinin” bulunmaması gerekir. Bununla birlikte atanan IP adresleri aynı ağ üzerinde bulunan diğer birimlerle tutarlılık göstermelidir.
IPv4 Adresleme
IPv4 (32 bit) ve IPv6 (128 bit) olmak üzere iki çeşit IP adresi vardır. Günümüzde yaygın olarak 32 bitlik (IPv4) adresleme mekanizması kullanılmaktadır. İnternetin yaygınlaşması ve IPv4 adreslerinin çok hızlı tükenmesi ile birlikte IPv6 adreslerinin kullanılmasına yönelim hız kanacaktır. IPv6 işlevselliği, kullanım kolaylığı sayesinde büyük faydalar sağlayacaktır.
Bilgisayarlar birbirlerini IP numaralarından tanırlar. İnsanların aklında kolay kalsın ve hiyerarşik yapılanma rahat yapılsın diye bunlar alt ağlar, makine adları gibi isimlendirmelere tabi tutulurlar. Yukarda görüldüğü gibi, internete bağlı her bilgisayarın (teorik olarak) bir IP numarası ve o numaraya karşılık gelen de bir gerçek adı vardır. İki mekanizma arasındaki dönüştürmelerden DNS sorumludur.
IP Adresleme
IP adresi, ağ üzerinde bulunan makinenin adresini ifade eder. Bu adres ile bir makine diğerlerine ulaşma imkânı bulur. Ağ üzerinde bulunan herhangi bir bilgisayarı ifade etmek için 32 bitlik bir IP adresi kullanılır. TCP/IP protokolü kullanılan bir ağda her bilgisayarın mutlaka bir IP adresi olmak zorundadır. IP adreslerinin atanması son derece kolay bir işlem olmasına karşın bu adresler atanırken göz önünde bulundurulması gereken birkaç önemli husus vardır. Atanan IP adreslerinin ağ içerisinde “eşinin” bulunmaması gerekir. Bununla birlikte atanan IP adresleri aynı ağ üzerinde bulunan diğer birimlerle tutarlılık göstermelidir.
IPv4 Adresleme
IPv4 (32 bit) ve IPv6 (128 bit) olmak üzere iki çeşit IP adresi vardır. Günümüzde yaygın olarak 32 bitlik (IPv4) adresleme mekanizması kullanılmaktadır. İnternetin yaygınlaşması ve IPv4 adreslerinin çok hızlı tükenmesi ile birlikte IPv6 adreslerinin kullanılmasına yönelim hız kanacaktır. IPv6 işlevselliği, kullanım kolaylığı sayesinde büyük faydalar sağlayacaktır.
32 bitlik bir IP adresi 8 bitlik dört oktet hâlinde ifade edilir. Bunun sebebi, ise okumayı kolaylaştırmak içindir. Adresleme için toplam 32 bitimiz varsa 2^32 = 4 milyar 294 milyon 967 bin 196 tane bilgisayar adreslenebilir. Ancak bu gerçekte böyle değildir. 32 bitlik
bir adres, diyelim ki, 1000010.00011011.00001100.00001100 şeklinde ifade edilmiş olsun.Bu adresin okunması için ikilik sistemde bir okuma gerekmektedir, ancak bu şekilde de okuma oldukça zor olduğunda yazdığımız adres onluk sisteme çevrilerek 194.27.12.12 şekline dönüşür ve bu tür bir ifadeye noktalı yazım (dotted decimal notation) denir. Nokta ile ayrılan kısımların her biri 0 ile 255 arasında bulunan birer tamsayı olmak zorundadır.
IP adresleri ağ numarası (Net ID) ve bilgisayar numarası (Host ID) olmak üzere iki bölümden oluşur. “Net ID” bilgisayarın bulunduğu ağı belirtirken, “Host ID” ağ içerisinde bilgisayarların birbirlerinden ayrılmasını sağlayan değerleri barındırır.
bir adres, diyelim ki, 1000010.00011011.00001100.00001100 şeklinde ifade edilmiş olsun.Bu adresin okunması için ikilik sistemde bir okuma gerekmektedir, ancak bu şekilde de okuma oldukça zor olduğunda yazdığımız adres onluk sisteme çevrilerek 194.27.12.12 şekline dönüşür ve bu tür bir ifadeye noktalı yazım (dotted decimal notation) denir. Nokta ile ayrılan kısımların her biri 0 ile 255 arasında bulunan birer tamsayı olmak zorundadır.
IP adresleri ağ numarası (Net ID) ve bilgisayar numarası (Host ID) olmak üzere iki bölümden oluşur. “Net ID” bilgisayarın bulunduğu ağı belirtirken, “Host ID” ağ içerisinde bilgisayarların birbirlerinden ayrılmasını sağlayan değerleri barındırır.
IP Adres Sınıfları
İnternete bağlı büyüklü küçüklü binlerce ağ vardır ve bu ağlar için gerekli IP adresleri sayısı birbirinden oldukça farklı olabilmektedir. Adres dağıtımını ve ağlara atanan adreslerin ağ aygıtlarına yerleşimini kolaylaştırmak amacıyla IP adres alanı alt kümelere bölünmüştür,yani sınıflandırılmıştır. Beş temel sınıflama vardır ve bunlar A,B,C,D ve E sınıfı adresler olarak adlandırılır. Bunlardan hangisinin gerektiğini doğrudan bu adreslerin kullanılacağı ağın büyüklüğü belirler.
İnternete bağlı büyüklü küçüklü binlerce ağ vardır ve bu ağlar için gerekli IP adresleri sayısı birbirinden oldukça farklı olabilmektedir. Adres dağıtımını ve ağlara atanan adreslerin ağ aygıtlarına yerleşimini kolaylaştırmak amacıyla IP adres alanı alt kümelere bölünmüştür,yani sınıflandırılmıştır. Beş temel sınıflama vardır ve bunlar A,B,C,D ve E sınıfı adresler olarak adlandırılır. Bunlardan hangisinin gerektiğini doğrudan bu adreslerin kullanılacağı ağın büyüklüğü belirler.
Adresler iki parçaya ayrılır; parçanın soldaki kısmı ağ adresi, sağdaki kısım ise sistem adresi olarak adlandırılır. Ağ adresleri yönlendiriciler için daha anlamlıdır. Tüm yönlendirme işlemleri ağ adreslerine bakılarak yapılır. Şekil de sınıflanmış bir ağın ayrılmış hâli görülmektedir.
Sınıflamalı adreslemede 32 bitlik adresin kaçar bitinin ağ ve sisteme ait olduğunu belirlemek için ağ maskesi kullanılır. Ağ maskesi IP adresiyle mantıksal VE işlemine tabi tutulur ve sonuç ağ adresini verir. Mesela, 167.34.1.1 IP adresine ve 255.255.0.0 ağ maskesine sahip bir bilgisayarın VE işleminden sonra ağ adresi 167.34.0.0’dir.
Sınıflamalı adreslemede IP adresleri A,B,C,D ve E şeklinde ayrılır.
Sınıflamalı adreslemede 32 bitlik adresin kaçar bitinin ağ ve sisteme ait olduğunu belirlemek için ağ maskesi kullanılır. Ağ maskesi IP adresiyle mantıksal VE işlemine tabi tutulur ve sonuç ağ adresini verir. Mesela, 167.34.1.1 IP adresine ve 255.255.0.0 ağ maskesine sahip bir bilgisayarın VE işleminden sonra ağ adresi 167.34.0.0’dir.
Sınıflamalı adreslemede IP adresleri A,B,C,D ve E şeklinde ayrılır.
Noktalı gösterimde Şekil den de anlaşılacağı üzere, her sınıf için tanımlanabilecek maksimum sayıda bilgisayar adedi vardır. Bu bilgisayarlar internet ortamında “host” diye adlandırılır. Her bir sınıf için tanımlanabilecek host sayısı şekilsel olarak aşağıda belirtilmiştir.
h: “host” ağ üzerinde tanımlanacak olan bilgisayarlar
A Sınıfı: 001.hhh.hhh.hhh’dan 126.hhh.hhh.hhh’a kadar
B Sınıfı: 128.001.hhh.hhh’dan 191.254.hhh.hhh’a kadar
C Sınıfı: 192.000.001.hhh’dan 223.255.254.hhh’a kadar
D Sınıfı: 224.000.000.000’dan 239.255.255.255’a kadar
A Sınıfı: 001.hhh.hhh.hhh’dan 126.hhh.hhh.hhh’a kadar
B Sınıfı: 128.001.hhh.hhh’dan 191.254.hhh.hhh’a kadar
C Sınıfı: 192.000.001.hhh’dan 223.255.254.hhh’a kadar
D Sınıfı: 224.000.000.000’dan 239.255.255.255’a kadar
A Sınıfı Adres
A sınıfı adres 16 milyon kullanıcı adresi barındıran geniş ağlar için kullanılan adres sınıfıdır. Sadece ilk oktet ağı temsil eder diğer üç oktet kullanıcıları temsil eder. İlk bit her zaman “0” dır. 127.0.0.0 adresi haricinde her adresi kullanabilir. Bu adres ise makinelerin
kendilerine paket göndererek test amaçlı kullanılır.
B Sınıfı Adres
B sınıfı adres 4 oktetin ilk ikisini kullanarak adresleme yapan sınıftır. İlk oktetin ilk iki biti her zaman “10” dır. Buda 128 ile 191 arasındaki adresleri kullanabileceği anlamına gelir. B sınıfı her biri 65 534 bilgisayar içeren 16 382 tane alt ağa izin verir. Bu tür adres alanı büyük ve orta büyüklükte ağlar için kullanılır. Birçok büyük üniversite ve ISS’ ler bu tür adres alanına sahiptir.
A sınıfı adres 16 milyon kullanıcı adresi barındıran geniş ağlar için kullanılan adres sınıfıdır. Sadece ilk oktet ağı temsil eder diğer üç oktet kullanıcıları temsil eder. İlk bit her zaman “0” dır. 127.0.0.0 adresi haricinde her adresi kullanabilir. Bu adres ise makinelerin
kendilerine paket göndererek test amaçlı kullanılır.
B Sınıfı Adres
B sınıfı adres 4 oktetin ilk ikisini kullanarak adresleme yapan sınıftır. İlk oktetin ilk iki biti her zaman “10” dır. Buda 128 ile 191 arasındaki adresleri kullanabileceği anlamına gelir. B sınıfı her biri 65 534 bilgisayar içeren 16 382 tane alt ağa izin verir. Bu tür adres alanı büyük ve orta büyüklükte ağlar için kullanılır. Birçok büyük üniversite ve ISS’ ler bu tür adres alanına sahiptir.
C Sınıfı Adres
C sınıfı adres küçük ağlar için kullanılır. En fazla 254 kullanıcılı ağlar içindir. İlk oktetin ilk üç biti “110” dır. 192 ile 223 arasını kullanabilir.
D ve E Sınıfı Adres
D sınıfı adreste ilk dört bit “1110” dır. 224 ile 239 arasını kullanabilir. IETF (Internet Engineering Task Force) E sınıfı adresleri kendi özel araştırmaları için kendilerine ayırmışlardır. E sınıfı adres internette kullanılamaz. 240 ile 255 arası bu adres sınıfı için ayrılmıştır.
Genel ve Özel IP adresleri
İnternet adreslemesinde 0 ve 255'in özel bir kullanımı vardır. 0 adresi, Internet üzerinde kendi adresini bilmeyen bilgisayarlar için (Belirli bazı durumlarda bir makinenin kendisinin bilgisayar numarasını bilip hangi ağ üzerinde olduğunu bilmemesi gibi bir durum olabilmektedir) veya bir ağın kendisini tanımlamak için kullanılmaktadır (144.122.0.0 gibi). 255 adresi genel duyuru "broadcast" amacı ile kullanılmaktadır. Bir ağ üzerindeki tüm
istasyonların duymasını istediğiniz bir mesaj genel duyuru "broadcast" mesajıdır. Duyuru mesajı genelde bir istasyon hangi istasyon ile konuşacağını bilemediği bir durumda kullanılan bir mesajlaşma yöntemidir.
Alt Ağlar
Alt ağlar, IP adreslerini yönetmenin başka bir yoludur. Ağ tasarımında IP adresleri sistemlere dağıtılırken ağ daha küçük birimlere parçalanarak alt ağlar oluşturulur. Bu, internetin hiyerarşik adresleme yapısına uygun olduğu gibi, yönlendirme işinin kotarılması için gerekli yapının kurulmasını da kolaylaştırır. Örneğin büyük bir üniversiteye B sınıfı bir adres alındığında, bu adreslerin bölümlerdeki bilgisayarlara alt ağlar oluşturulmadan gelişi güzel verilmesi birçok sorunu da beraberinde getirir. Hâlbuki verilen B sınıfı adres alanı
daha küçük alanlardan oluşan alt alanlara bölünse ve bu alt alanların her biri bölümlerdeki LAN’ lara atansa birçok kolaylık da beraberinde gelecektir. Adres yerleştirmeleri kolay
olacak, hiyerarşik yapı korunacak, adrese bakılarak ilgili sistemin hangi alt ağda olduğu anlaşılacak ve bu sayede oluşan problemlere en kısa zamanda çözüm getirilebilecektir.
Ağ Maskesi
Alt ağ oluşumu ağ üzerindeki yöneticiye beraber çalıştığı her bir ağ parçasının ölçüsünü belirlemeye imkân verir. Ağ üzerinde kaç segment olduğu bir kere belirlendiği zaman hangi ağda hangi aygıtın açık olduğunu belirlemek için alt ağ maskesini kullanabilirler. Bir bilgisayar ancak aynı ağda bulunan bir bilgisayarla doğrudan iletişime geçebilir. Aynı ağda değillerse dolaylı olarak iletişime geçer. Aynı ağda olup olmadığını IP adreslerini kullanarak anlarız. IP adresinin bir bölümü ağı, diğer bölümü de bilgisayarın ağ içindeki adresini tanımlar. Hangi bölümü ile ağı hangi bölümü ile bilgisayarı tanımladığını bilmek için alt ağ maskesi kullanırız. Dört bölümden oluşur ve ağ adresinin hangi bölüme kadar geldiğini göstermek için kullanılır. Bilgisayar kendi ağ tanımlayıcılarını bulmak için alt ağ maskesi kullanır. Bu yüzden alt ağ maskesinin doğru şekilde girilmesi gerekir. Yanlış girilirse bilgisayarın diğer bilgisayarlarla iletişimi engellenebilir.
Bilgisayar ağ tanımlayıcısını bulmak için alt ağ maskesini IP adresini VE mantıksal işleminden geçirerek kullanırlar. Mesela, IP adresi:195.134.67.200 olsun ve alt ağ maskeside 255.255.255.0 olsun. Bilgisayarın bu bilgilere dayanarak bulunduğu ağ tanımlayıcısını yani ağ adresini bulabiliriz. IP adresi ile alt ağ maskesini VE işlemine tabi tutalım:
195.134.67 .200 = 1100 0011.1000 0110.0100 0011.1100 1000
VE
255.255.255.0 = 1111 1111.1111 1111.1111 1111.0000 0000
Sonuç: 195.134.67. 0 = 1100 0011.1000 0110.0100 0011.0000 0000
Mesela, şimdi iki bilgisayardan oluşan bir ağ düşünelim. Şekle bakalım
C sınıfı adres küçük ağlar için kullanılır. En fazla 254 kullanıcılı ağlar içindir. İlk oktetin ilk üç biti “110” dır. 192 ile 223 arasını kullanabilir.
D ve E Sınıfı Adres
D sınıfı adreste ilk dört bit “1110” dır. 224 ile 239 arasını kullanabilir. IETF (Internet Engineering Task Force) E sınıfı adresleri kendi özel araştırmaları için kendilerine ayırmışlardır. E sınıfı adres internette kullanılamaz. 240 ile 255 arası bu adres sınıfı için ayrılmıştır.
Genel ve Özel IP adresleri
İnternet adreslemesinde 0 ve 255'in özel bir kullanımı vardır. 0 adresi, Internet üzerinde kendi adresini bilmeyen bilgisayarlar için (Belirli bazı durumlarda bir makinenin kendisinin bilgisayar numarasını bilip hangi ağ üzerinde olduğunu bilmemesi gibi bir durum olabilmektedir) veya bir ağın kendisini tanımlamak için kullanılmaktadır (144.122.0.0 gibi). 255 adresi genel duyuru "broadcast" amacı ile kullanılmaktadır. Bir ağ üzerindeki tüm
istasyonların duymasını istediğiniz bir mesaj genel duyuru "broadcast" mesajıdır. Duyuru mesajı genelde bir istasyon hangi istasyon ile konuşacağını bilemediği bir durumda kullanılan bir mesajlaşma yöntemidir.
Alt Ağlar
Alt ağlar, IP adreslerini yönetmenin başka bir yoludur. Ağ tasarımında IP adresleri sistemlere dağıtılırken ağ daha küçük birimlere parçalanarak alt ağlar oluşturulur. Bu, internetin hiyerarşik adresleme yapısına uygun olduğu gibi, yönlendirme işinin kotarılması için gerekli yapının kurulmasını da kolaylaştırır. Örneğin büyük bir üniversiteye B sınıfı bir adres alındığında, bu adreslerin bölümlerdeki bilgisayarlara alt ağlar oluşturulmadan gelişi güzel verilmesi birçok sorunu da beraberinde getirir. Hâlbuki verilen B sınıfı adres alanı
daha küçük alanlardan oluşan alt alanlara bölünse ve bu alt alanların her biri bölümlerdeki LAN’ lara atansa birçok kolaylık da beraberinde gelecektir. Adres yerleştirmeleri kolay
olacak, hiyerarşik yapı korunacak, adrese bakılarak ilgili sistemin hangi alt ağda olduğu anlaşılacak ve bu sayede oluşan problemlere en kısa zamanda çözüm getirilebilecektir.
Ağ Maskesi
Alt ağ oluşumu ağ üzerindeki yöneticiye beraber çalıştığı her bir ağ parçasının ölçüsünü belirlemeye imkân verir. Ağ üzerinde kaç segment olduğu bir kere belirlendiği zaman hangi ağda hangi aygıtın açık olduğunu belirlemek için alt ağ maskesini kullanabilirler. Bir bilgisayar ancak aynı ağda bulunan bir bilgisayarla doğrudan iletişime geçebilir. Aynı ağda değillerse dolaylı olarak iletişime geçer. Aynı ağda olup olmadığını IP adreslerini kullanarak anlarız. IP adresinin bir bölümü ağı, diğer bölümü de bilgisayarın ağ içindeki adresini tanımlar. Hangi bölümü ile ağı hangi bölümü ile bilgisayarı tanımladığını bilmek için alt ağ maskesi kullanırız. Dört bölümden oluşur ve ağ adresinin hangi bölüme kadar geldiğini göstermek için kullanılır. Bilgisayar kendi ağ tanımlayıcılarını bulmak için alt ağ maskesi kullanır. Bu yüzden alt ağ maskesinin doğru şekilde girilmesi gerekir. Yanlış girilirse bilgisayarın diğer bilgisayarlarla iletişimi engellenebilir.
Bilgisayar ağ tanımlayıcısını bulmak için alt ağ maskesini IP adresini VE mantıksal işleminden geçirerek kullanırlar. Mesela, IP adresi:195.134.67.200 olsun ve alt ağ maskeside 255.255.255.0 olsun. Bilgisayarın bu bilgilere dayanarak bulunduğu ağ tanımlayıcısını yani ağ adresini bulabiliriz. IP adresi ile alt ağ maskesini VE işlemine tabi tutalım:
195.134.67 .200 = 1100 0011.1000 0110.0100 0011.1100 1000
VE
255.255.255.0 = 1111 1111.1111 1111.1111 1111.0000 0000
Sonuç: 195.134.67. 0 = 1100 0011.1000 0110.0100 0011.0000 0000
Mesela, şimdi iki bilgisayardan oluşan bir ağ düşünelim. Şekle bakalım
Şekilde görülen 195.134.67.0 adresli bilgisayarın diğer bilgisayarla iletişime geçmesi için aynı ağda olmaları gerekir. Hedef bilgisayarın aynı ağda olup olmadığını anlamak için bilgisayarların ağ adreslerine bakarız. 195.134.67.200 VE 255.255.255.0 ile işleme koyduktan sonra çıkan sonuç: 195.134.67.0 olacaktır. Bu bilgisayarın kendi ağ adresidir. Hedef bilgisayarın ağ adresi ise:
195.134.67.56 ile 255.255.255.0 VE işleme konularak 195.134.67.0 sonucu görürüz. Aynı ağ adresleri çıktığı için bu bilgisayarların iletişime geçeceklerini söyleyebiliriz.
Yayın Adresi
Ağın yayın adresi, alt ağ yapısına bağlı olarak belirlenir ve aynı ağ üzerindeki her bilgisayarda aynı değerin kullanılması gerekmektedir. 255 adresi genel duyuru "broadcast" amacı ile kullanılmaktadır. Duyuru mesajı genelde bir istasyon hangi istasyon ile konuşacağını bilemediği bir durumda kullanılan bir mesajlaşma yöntemidir. Örneğin, ulaşmak istediğiniz bir bilgisayarın adı elinizde bulunabilir; ama onun IP adresine ihtiyaç duydunuz, bu çevirme işini yapan en yakın "name server" makinesinin adresini de bilmiyorsunuz, böyle bir durumda bu isteğinizi yayın mesajı yolu ile yollayabilirsiniz. Bazı durumlarda birden fazla sisteme bir bilginin gönderilmesi gerekebilir, böyle bir durumda her bilgisayara ayrı ayrı mesaj gönderilmesi yerine tek bir yayın mesajı yollanması çok daha kullanışlı bir yoldur. Yayın mesajı yollamak için gidecek olan mesajın IP numarasının bilgisayar adresi alanına 255 verilir. Örneğin 144.122.99 ağı üzerinde yer alan bir bilgisayar yayın mesajı yollamak için 144.122.99.255 adresini kullanır. Yayın mesajı yollanması birazda kullanılan ağın fiziksel katmanının özelliklerine bağlıdır. Mesela, bir ethernet ağında yayın mümkün iken noktadan noktaya (point-to-point) hatlarda bu mümkün olmamaktadır.
Bazı eski sürüm TCP/IP protokolüne sahip bilgisayarlarda yayın adresi olarak 255 yerine 0 kullanılabilmektedir. Ayrıca yine bazı eski sürümler alt ağ kavramına hiç sahip olmayabilmektedir.
Yukarıda da belirttiğimiz gibi 0 ve 255'in özel kullanım alanları olduğu için ağa bağlı bilgisayarlara bu adresler kesinlikle verilmemelidir. Ayrıca adresler asla 0 ve 127 ile ve 223'un üzerindeki bir sayı ile başlamamalıdır.
195.134.67.56 ile 255.255.255.0 VE işleme konularak 195.134.67.0 sonucu görürüz. Aynı ağ adresleri çıktığı için bu bilgisayarların iletişime geçeceklerini söyleyebiliriz.
Yayın Adresi
Ağın yayın adresi, alt ağ yapısına bağlı olarak belirlenir ve aynı ağ üzerindeki her bilgisayarda aynı değerin kullanılması gerekmektedir. 255 adresi genel duyuru "broadcast" amacı ile kullanılmaktadır. Duyuru mesajı genelde bir istasyon hangi istasyon ile konuşacağını bilemediği bir durumda kullanılan bir mesajlaşma yöntemidir. Örneğin, ulaşmak istediğiniz bir bilgisayarın adı elinizde bulunabilir; ama onun IP adresine ihtiyaç duydunuz, bu çevirme işini yapan en yakın "name server" makinesinin adresini de bilmiyorsunuz, böyle bir durumda bu isteğinizi yayın mesajı yolu ile yollayabilirsiniz. Bazı durumlarda birden fazla sisteme bir bilginin gönderilmesi gerekebilir, böyle bir durumda her bilgisayara ayrı ayrı mesaj gönderilmesi yerine tek bir yayın mesajı yollanması çok daha kullanışlı bir yoldur. Yayın mesajı yollamak için gidecek olan mesajın IP numarasının bilgisayar adresi alanına 255 verilir. Örneğin 144.122.99 ağı üzerinde yer alan bir bilgisayar yayın mesajı yollamak için 144.122.99.255 adresini kullanır. Yayın mesajı yollanması birazda kullanılan ağın fiziksel katmanının özelliklerine bağlıdır. Mesela, bir ethernet ağında yayın mümkün iken noktadan noktaya (point-to-point) hatlarda bu mümkün olmamaktadır.
Bazı eski sürüm TCP/IP protokolüne sahip bilgisayarlarda yayın adresi olarak 255 yerine 0 kullanılabilmektedir. Ayrıca yine bazı eski sürümler alt ağ kavramına hiç sahip olmayabilmektedir.
Yukarıda da belirttiğimiz gibi 0 ve 255'in özel kullanım alanları olduğu için ağa bağlı bilgisayarlara bu adresler kesinlikle verilmemelidir. Ayrıca adresler asla 0 ve 127 ile ve 223'un üzerindeki bir sayı ile başlamamalıdır.
IPv4 Header (Başlık) Yapısı
IPv4 başlık (header) yapısı aşağıdaki şekilde gösterilmiştir:
Bir IPv4 başlığında bulunan bölümler şunlardır:
• Sürüm (Version) (4-bit):
Internet protokolünün ne olduğunu gösterir. IPv4 başlığı için bu 4’tür.
Internet protokolünün ne olduğunu gösterir. IPv4 başlığı için bu 4’tür.
• Başlık Boyutu (Header Length) (4-bit):
Başlık bilgisinin boyutunu gösterir.
Başlık bilgisinin boyutunu gösterir.
• Servis Türü (Type of Service - TOS) (8-bit):
Paketin önceliği, gecikmesi, güvenilirliği ve iletim hızı konularında bilgi veren bölümdür.
Paketin önceliği, gecikmesi, güvenilirliği ve iletim hızı konularında bilgi veren bölümdür.
• Toplam Uzunluk (Total Length) (16-bit):
IP paketinin toplam büyüklüğünü gösterir. En fazla 65536 byte olabilir.
IP paketinin toplam büyüklüğünü gösterir. En fazla 65536 byte olabilir.
• Kimlik Bilgisi (Identification) (16-bit):
Parçalanma yapılan verinin, hangi IPv4 paketlerinden oluştuğunu gösterir. Bunu aynı datayı oluşturan bütün paketlere aynı kimlik bilgisi değerini vererek yapan kısımdır.
Parçalanma yapılan verinin, hangi IPv4 paketlerinden oluştuğunu gösterir. Bunu aynı datayı oluşturan bütün paketlere aynı kimlik bilgisi değerini vererek yapan kısımdır.
• Bayraklar (Flags) (3-bit):
• İlk biti ayrılmıştır ve 0 olmak zorundadır.
• İkinci bitte ise parçalama bayrağı (don’t fragmentation) bulunur. Bu değer 1 olduğunda, eğer paketin yönlendiriciden iletilmesi için parçalanması gerekiyorsa paket yok olur.
• Üçüncü bitte ise daha fazla parça (more fragment) bayrağı bulunur. Bu değerin 0 olduğu paket, son pakettir veya parçalamaya uğramamıştır.
• Parça Numarası (Fragment Offset) (13-bit):
IPv4 paketlerinin hangi sırada birleşerek datayı oluşturacağını gösteren kısımdır.
IPv4 paketlerinin hangi sırada birleşerek datayı oluşturacağını gösteren kısımdır.
• Yaşam Süresi (Time to Live) (8-bit):
Bu alan, paket her "router"dan geçtiğinde 1 azalır. Eğer TTL değeri 0 olursa paket yok olur.
Bu alan, paket her "router"dan geçtiğinde 1 azalır. Eğer TTL değeri 0 olursa paket yok olur.
• Protokol (Protocol) (8-bit):
Üst katman protokolünü (TCP, UDP veya ICMP) gösterir. Protokol numaraları IANA’ya gore belirlenmiştir.
Üst katman protokolünü (TCP, UDP veya ICMP) gösterir. Protokol numaraları IANA’ya gore belirlenmiştir.
• Başlık Kontrolü (Header Checksum) (16-bit):
Pakette hata olup olmadığı bu bölümde kontrol edilir. Yol boyunca bütün yönlendiricilerde bu bölüm doğrulanarak tekrar hesaplanır.
Pakette hata olup olmadığı bu bölümde kontrol edilir. Yol boyunca bütün yönlendiricilerde bu bölüm doğrulanarak tekrar hesaplanır.
• Kaynak IPv4 Adresi (Source IPv4 Address) (32-bit):
Kaynağın IPv4 adresini gösterir.
Kaynağın IPv4 adresini gösterir.
• Hedef IPv4 Adresi (Destination IPv4 Address) (32-bit):
Alıcının IPv4 adresini gösterir.
Alıcının IPv4 adresini gösterir.
• Seçenekler (Options):
Güvenlik, kaynak, yönlendirme, yolun kaydedilmesi ve zaman gibi bilgilerin tutulduğu alanlardır. Gerektiği zaman kullanılır. Boyutu değişkendir.
Güvenlik, kaynak, yönlendirme, yolun kaydedilmesi ve zaman gibi bilgilerin tutulduğu alanlardır. Gerektiği zaman kullanılır. Boyutu değişkendir.
• Dolgu (Padding):
Paketin 32 bitlik sınırda sonlanması için kullanılan bölümdür. Başlık bilgisi büyüklüğünü değiştirir.
Paketin 32 bitlik sınırda sonlanması için kullanılan bölümdür. Başlık bilgisi büyüklüğünü değiştirir.
• Yük (Payload):
İletilen bilgiyi gösterir.
İletilen bilgiyi gösterir.
IPv6 Nedir ?
IPv6 "Internet Protocol Version 6" kelimesinin başharflerinin kısaltılmış halidir.70 li yıllarda geliştirilen ve hala kullanılan IP versiyon 4 (IPv4) protokolünün yerini alması için 90 lı yılların başından itibaren IETF (Internet Engineering Task Force) tarafından ilk çalışmalarına başlatılmış ve IPv4'ün yerini alması öngörülmektedir.
IPv5'e ne oldu ?
Versiyon 5 çoktan başka bir şeye isim olarak verildi. 1970'lerin sonunda ST (The Internet Stream Protocol) adında bir protokol geliştirilmişti. Bu protokol deneysel olarak ses ve video iletilebilmesini amaçlıyordu. 20 yıl sonra bu protokol yeniden gözden geçirildi, ST2 ismini aldı ve IBM, NeXT, Apple, ve Sun tarafından ticari projelerde kullanılmaya başlandı. Gerçekten çok farklı şeyler sunuyordu. ST ve ST+, bağlantı sağlayamayan IPv4 sistemine nazaran bağlantı sağlayabiliyorlardı. Üstelik servis kalitesi de sağlıyordu. ST ve ST+ çoktan o '5' ismini almışlardı.
Herhangi bir karışıklığa sebep olmamak için 5 ismin kullanılmamasına karar verildi.
Yeni bir IP protokolüne niçin ihtiyacımız var?
IPv4 uzun yaşam süresince esnek ve sağlam tasarımından dolayı uzunca yıllar daha ihtiyacları karşılayabilecek gibi gözükmesine rağmen ağa bağlanan cihazların sayısının ve çeşitlişiğinin (PLC,PDA, UMTS mobil telefonlar, sensör ağları vb) IPv4'ün adres aralığının zaman içinde bitme sorunuyla karşılaşmamız ihtimalini doğurdu. IPv6 bu problemi IP adres aralığını arttırarak öngörülebilir bir gelecekte ortadan kaldırmıştır.IPv6 bunun yanında IPv4 ile hizmetlerin çeşitlenmesi ile sağlanılmasında güçlük yaşanan:
IPv6 "Internet Protocol Version 6" kelimesinin başharflerinin kısaltılmış halidir.70 li yıllarda geliştirilen ve hala kullanılan IP versiyon 4 (IPv4) protokolünün yerini alması için 90 lı yılların başından itibaren IETF (Internet Engineering Task Force) tarafından ilk çalışmalarına başlatılmış ve IPv4'ün yerini alması öngörülmektedir.
IPv5'e ne oldu ?
Versiyon 5 çoktan başka bir şeye isim olarak verildi. 1970'lerin sonunda ST (The Internet Stream Protocol) adında bir protokol geliştirilmişti. Bu protokol deneysel olarak ses ve video iletilebilmesini amaçlıyordu. 20 yıl sonra bu protokol yeniden gözden geçirildi, ST2 ismini aldı ve IBM, NeXT, Apple, ve Sun tarafından ticari projelerde kullanılmaya başlandı. Gerçekten çok farklı şeyler sunuyordu. ST ve ST+, bağlantı sağlayamayan IPv4 sistemine nazaran bağlantı sağlayabiliyorlardı. Üstelik servis kalitesi de sağlıyordu. ST ve ST+ çoktan o '5' ismini almışlardı.
Herhangi bir karışıklığa sebep olmamak için 5 ismin kullanılmamasına karar verildi.
Yeni bir IP protokolüne niçin ihtiyacımız var?
IPv4 uzun yaşam süresince esnek ve sağlam tasarımından dolayı uzunca yıllar daha ihtiyacları karşılayabilecek gibi gözükmesine rağmen ağa bağlanan cihazların sayısının ve çeşitlişiğinin (PLC,PDA, UMTS mobil telefonlar, sensör ağları vb) IPv4'ün adres aralığının zaman içinde bitme sorunuyla karşılaşmamız ihtimalini doğurdu. IPv6 bu problemi IP adres aralığını arttırarak öngörülebilir bir gelecekte ortadan kaldırmıştır.IPv6 bunun yanında IPv4 ile hizmetlerin çeşitlenmesi ile sağlanılmasında güçlük yaşanan:
• Güvenlik
• Servis kalitesi (Quality of Service QOS)
• Mobillik
• Çoklu gönderim (Multicast)
• Ağ yönetimi
problemlerine de çözümler sunmaktadır.
IPv6'nın getireceği avantajlar nelerdir?
Ölçeklendirilebilirlik:
IPv4 adreslemesi için kullandığımız 32 bitlik aralığı IPv6 ile birlikte 128 bite çıkıyor.Bunun sonucu olarak IPv4 ile kıyaslandığında (232) IPv6 adres aralığının 2128 = 340.282.366.920.938.463.463.374.607.431.768.211.45 6 olduğunu söyleyebiliriz. .Bunun yaklaşık olarak dünya üzerindeki her m2 ye 1 mol =~ 6.02 1023 IP düşmesi anlamına geliyor !!
Güvenlik:
IPv4'e sonradan eklenen güvenlik tedbirlerini arttırıcı şifreleme (Ipsec), kimlik denetimi (authentication) vb mekanizmalar IPv6 ile beraber gömülü olarak gelmektedir.
Servis Kalitesi (Qualiy Of Service)
IPv6 ile gelen servis kalitesi özellikleri ile IP paketlerini önceliklendirme işlemi kolaylaşmış gerçek zamanlı trafiğin (Görüntü,ses vb) önceliklendirilerek kesinti olma olasılğı azaltılmıştır.
Tak Çalıştır, Otomatik yapılandırma (Autoconfiguration)
IPv6 ile protokolü ile gelen otomatik yapılandırma özellikeri sayesinde son kullanıcının ağa bağlanmak için hernangi bir ayar yapması gerekmeyecektir.
Mobilite
IPv6 ile mümkün olmayan aynı IP adresi ile farklı ağlarda dolaşım IPv6 ile mümkün hale gelmiştir.
Adresleme ve Yönlendirme
IPv6 Adres yapısı ile yönlendirme tablolarındaki ağ adresi sayısı azalacak ve yönlendirmede rahatlık sağlanacaktır.
IPv4'te 2^32 adres varken adres sayısı niçin yetersiz kaldı?
80'li yıllarda gelecekteki IP kullanımı düşünülmeden IP isteyen organizasyonlara gereğinden çok fazla sayıda adres kontrolsüz şekilde verildiği için bir çok kurum ve organizasyon gerçekte kullanacaklarından çok fazla sayıda IP adresi alarak boş IPv4 adres aralığının azalmasına neden olmuştur.
IPv4 adres sıkıntısının çözümü için IPv6'ya geçiş dışında çözüm yok mu?
Bu sorunun en kolay çözümü IPv4 adreslerinin tekrar dağıtılması gibi gözüksede günümüzde İnternetin ve ağların geldiği aşalamar düşünülürse bunun tüm dünyaya yayılmış çok büyük efor getiren bir proje olacağı ve imkansız olacağı görülecektir. Sonuçta bilgisayarlar dışındaki cihazlarında (Cep telefonları, PDA vb) ağa bağlanması ile IPv4 adres aralığının yakın bir gelecekte yetmeyeceği görülmektedir.
Günümüzde IPv4 adres sayısının azlığının yaratttığı problemleri gidemek için NAT (Network Address Translation) mekanizması kullanılmaktadır. Her ne kadar NAT bir çözüm olarak sunulsa da NAT yapmak ağınızda aşağıdaki problemleri doğurmaktadır. Videokonferans,VoIP gibi birçok multimedaya uygulamaları RTC ("Real-time Transport Protocol") ve RTCP protokollerinin dinamik olarak UDP portlarının değiştirimesini isteği için NAT arkasından çalışamamaktadır.
IPsec kullanırken NAT IP başlığındaki adresi değiştirdiği için IPsec'in bütünlüğü bozulmaktadır. Her ne kadar teknik olarak mümkün olsa da yapılandırması çok zor olduğ için NAT arkasında kalan bir cihazdan multicast yapmak çok zordur.
Peer to peer ağların gerçek IP'ye ihtiyac duymaktadır.
IPv4'e sonradan eklenen güvenlik tedbirlerini arttırıcı şifreleme (Ipsec), kimlik denetimi (authentication) vb mekanizmalar IPv6 ile beraber gömülü olarak gelmektedir.
Servis Kalitesi (Qualiy Of Service)
IPv6 ile gelen servis kalitesi özellikleri ile IP paketlerini önceliklendirme işlemi kolaylaşmış gerçek zamanlı trafiğin (Görüntü,ses vb) önceliklendirilerek kesinti olma olasılğı azaltılmıştır.
Tak Çalıştır, Otomatik yapılandırma (Autoconfiguration)
IPv6 ile protokolü ile gelen otomatik yapılandırma özellikeri sayesinde son kullanıcının ağa bağlanmak için hernangi bir ayar yapması gerekmeyecektir.
Mobilite
IPv6 ile mümkün olmayan aynı IP adresi ile farklı ağlarda dolaşım IPv6 ile mümkün hale gelmiştir.
Adresleme ve Yönlendirme
IPv6 Adres yapısı ile yönlendirme tablolarındaki ağ adresi sayısı azalacak ve yönlendirmede rahatlık sağlanacaktır.
IPv4'te 2^32 adres varken adres sayısı niçin yetersiz kaldı?
80'li yıllarda gelecekteki IP kullanımı düşünülmeden IP isteyen organizasyonlara gereğinden çok fazla sayıda adres kontrolsüz şekilde verildiği için bir çok kurum ve organizasyon gerçekte kullanacaklarından çok fazla sayıda IP adresi alarak boş IPv4 adres aralığının azalmasına neden olmuştur.
IPv4 adres sıkıntısının çözümü için IPv6'ya geçiş dışında çözüm yok mu?
Bu sorunun en kolay çözümü IPv4 adreslerinin tekrar dağıtılması gibi gözüksede günümüzde İnternetin ve ağların geldiği aşalamar düşünülürse bunun tüm dünyaya yayılmış çok büyük efor getiren bir proje olacağı ve imkansız olacağı görülecektir. Sonuçta bilgisayarlar dışındaki cihazlarında (Cep telefonları, PDA vb) ağa bağlanması ile IPv4 adres aralığının yakın bir gelecekte yetmeyeceği görülmektedir.
Günümüzde IPv4 adres sayısının azlığının yaratttığı problemleri gidemek için NAT (Network Address Translation) mekanizması kullanılmaktadır. Her ne kadar NAT bir çözüm olarak sunulsa da NAT yapmak ağınızda aşağıdaki problemleri doğurmaktadır. Videokonferans,VoIP gibi birçok multimedaya uygulamaları RTC ("Real-time Transport Protocol") ve RTCP protokollerinin dinamik olarak UDP portlarının değiştirimesini isteği için NAT arkasından çalışamamaktadır.
IPsec kullanırken NAT IP başlığındaki adresi değiştirdiği için IPsec'in bütünlüğü bozulmaktadır. Her ne kadar teknik olarak mümkün olsa da yapılandırması çok zor olduğ için NAT arkasında kalan bir cihazdan multicast yapmak çok zordur.
Peer to peer ağların gerçek IP'ye ihtiyac duymaktadır.
IPv6 da NAT yapılabiliyormu?
IPv6 da NAT yapılamıyor.
IPv6 adresinin formatı nasıldır ?
Adresleme
128 bit adresleme
IPv4'e göre 2^96 kat fazla IP adresi
m2 başına 1 molden fazla (~ 6.66 1023) IP adresi
Yazılım Ondalık düzen yarine Onaltılık düzende yazılım. Her : adresi arasında 16 bitlik aralık ile gösterim.
255.255.255.255 (IPv4)
255.255.255.255.255.255.255.255.255.255.255.255.25 5.255.255.255 (IPv6 Ondalık düzen olsaydı)
FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF (IPv6 Onaltılk düzen)
Birbirini izleyen sıfırla araya :: konularak kısatılabilir. Kısaltma IP adresi içinde yanlız bir kez kullanılabilir.
2001:0a98:10:0000:0000:0000:0000:0001 --> 2001:0a98:10::1
2001:0a98:10:A8F6:0000:0F8a:CAF9:A8FF --> 2001:0a98:10:A8F6::0F8a:CAF9:A8FF
Ağ adresi gösterimi için ağ adres maskesi yerine CIDR ile gösterim.
193.140.83.0/24 (IPv4)
2001:a98:: /32
2001:a98:10:: /64
Ağ öneki olmayan adresler
loopback adresi ::1
belirsiz adres (hernangi bir IP adresi olmaması halinde) ::
IPv4 uyumlu 0:0:0:0:0:0:193.140.83.251/96 --> ::193.140.83.251/96
Ağ bölümü
Link local (fe80: ile başlar. MAC adresinden EUI-64 algoritması ile otomatik olarak hesaplanır)
Site local (fec0: ile başlar. IPv4 teki 192.168.0.0/16, 10.0.0.0/8 172.160.0.0/12 adreslerine karşılık gelen özel kullanım için ayrılmış IP'ler)
Global Unicast(Tüm dünyada geçerli global IPv6 adresi)
*6bone test ( 3ffe: )
*6to4 tünel ( 2002: )
*ISS ( 2001: )
IPv6 da NAT yapılamıyor.
IPv6 adresinin formatı nasıldır ?
Adresleme
128 bit adresleme
IPv4'e göre 2^96 kat fazla IP adresi
m2 başına 1 molden fazla (~ 6.66 1023) IP adresi
Yazılım Ondalık düzen yarine Onaltılık düzende yazılım. Her : adresi arasında 16 bitlik aralık ile gösterim.
255.255.255.255 (IPv4)
255.255.255.255.255.255.255.255.255.255.255.255.25 5.255.255.255 (IPv6 Ondalık düzen olsaydı)
FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF (IPv6 Onaltılk düzen)
Birbirini izleyen sıfırla araya :: konularak kısatılabilir. Kısaltma IP adresi içinde yanlız bir kez kullanılabilir.
2001:0a98:10:0000:0000:0000:0000:0001 --> 2001:0a98:10::1
2001:0a98:10:A8F6:0000:0F8a:CAF9:A8FF --> 2001:0a98:10:A8F6::0F8a:CAF9:A8FF
Ağ adresi gösterimi için ağ adres maskesi yerine CIDR ile gösterim.
193.140.83.0/24 (IPv4)
2001:a98:: /32
2001:a98:10:: /64
Ağ öneki olmayan adresler
loopback adresi ::1
belirsiz adres (hernangi bir IP adresi olmaması halinde) ::
IPv4 uyumlu 0:0:0:0:0:0:193.140.83.251/96 --> ::193.140.83.251/96
Ağ bölümü
Link local (fe80: ile başlar. MAC adresinden EUI-64 algoritması ile otomatik olarak hesaplanır)
Site local (fec0: ile başlar. IPv4 teki 192.168.0.0/16, 10.0.0.0/8 172.160.0.0/12 adreslerine karşılık gelen özel kullanım için ayrılmış IP'ler)
Global Unicast(Tüm dünyada geçerli global IPv6 adresi)
*6bone test ( 3ffe: )
*6to4 tünel ( 2002: )
*ISS ( 2001: )
Multicast
ffx1: node-local
ffx2: link-local
ffx5: site-local
ffx8: organization-local
ffxe: global
Anycast
Dinamik yönlendirme protokolü
Anycast adresleri sadece hedef IP adresi olabilir kaynak IP adresi olamaz.
IPv4 ve IPv6 adresleri beraber kullanılabiliyormu ?
Evet,IPv6'ya geçiş aşamasında kolaylık sağlamak için aynı cihaz üzerinde hem IPv4 hemde IPv4 adresi bulunabilir.Bu tip yapıya ikili yığın ("dual stack") yapısı adı verilir.IPv6 destekleyen çoğu uygulama bağlanılmak istenen noktanın ilk olarak IPv6 adresi olup olmadığını kontrol eder,eğer varsa IPv6 üzerinden bağlanmaya çalışır.Ipv6 adresinin olmaması durumda IPv4 adresi kullanılır.
ffx1: node-local
ffx2: link-local
ffx5: site-local
ffx8: organization-local
ffxe: global
Anycast
Dinamik yönlendirme protokolü
Anycast adresleri sadece hedef IP adresi olabilir kaynak IP adresi olamaz.
IPv4 ve IPv6 adresleri beraber kullanılabiliyormu ?
Evet,IPv6'ya geçiş aşamasında kolaylık sağlamak için aynı cihaz üzerinde hem IPv4 hemde IPv4 adresi bulunabilir.Bu tip yapıya ikili yığın ("dual stack") yapısı adı verilir.IPv6 destekleyen çoğu uygulama bağlanılmak istenen noktanın ilk olarak IPv6 adresi olup olmadığını kontrol eder,eğer varsa IPv6 üzerinden bağlanmaya çalışır.Ipv6 adresinin olmaması durumda IPv4 adresi kullanılır.
IP Adreslerinin Kullanımı (IPv4, Ipv6)
IANA (İnternet Tahsisli Numaralar Otoritesi) tarafından Dünya üzerindeki 5 büyük Bölgesel İnternet Kayıt Merkezi (RIR)’ne tahsis edilen IP adresleri bloklarının dağıtımı ve kayıt altına alınmasından; Avrupa, Orta Doğu ve Orta Asya’nın belli bölümlerini kapsayan bölgesinde RIPE NCC (Avrupa Network Koordinasyon Merkezi) sorumludur.
IPSec Nedir?
IPSec, ağ üzerindeki IP trafiğinin güvenliğini sağlamak üzere Internet Engineering Task Force (IETF) tarafından geliştirilmiş bir protokoldür. IPSec ile alakalı olarak toplam 12 tane RFC (Request for Comments) tanımlanmıştır. (IPSec ile alakalı RFC numaraları 2401 ile 2412 arasındadır). IPv4 geliştirilirken güvenlik göz ardı edildiğinden ve günümüz ağları (Internet dahil) halihazırda halen IPv4’ü kullandığından, IPv6’da güvenlik protokolü olarak kullanılan IPSec, IPv4 ağlarına da uyarlanabilecek şekilde geliştirilmiştir. Günümüzde Windows 2000/XP, NetWare 6, Solaris 9 gibi birçok işletim sistemi ve yönlendiriciler IPSec protokolünü destekler.
IPSec, adından da anlaşılacağı gibi OSI referans modelinin IP katmanında çalışır ve mevcut uygulamalarınızda herhangi bir değişiklik yapmadan güvenli bir IP trafiği sağlar. Örneğin SSL kullanarak veri güvenliğini sağlamak istiyorsanız bu durumda kullandığınız yazılımın SSL tabanlı olması gerekir. IPSec kullanarak sadece IP trafiğinin güvenliğini değil, TCP, UDP, ICMP gibi üst katman protokollerinin verilerinin de güvenliğini sağlayabilirsiniz.
IPSec güvenlik mimarisi, uçtan uca (end to end) bir güvenlik modelidir. Yani sadece iletişimde bulunan iki uç noktanın IPSec kullanması yeterlidir. Diğer bir değişle,veri iletimi sırasında kullanılan ağ cihazlarının (örneğin yönlendiriciler (router), anahtarlar (switch), köprüler (bridge)) IPSec kullanacak şekilde konfigüre edilmesine gerek yoktur. Bu da, mevcut ağ altyapınızda herhangi bir değişiklik yapmadan IPSec’i kullanmanıza imkan sağlar.
IPSec’i iki farklı modda kullanabilirsiniz. Bunlar Transport Mode (client-to-client) ve Tunnel Mode (Gateway-to-Gateway) modlarıdır.
Transport Mode:
Bu mod, aynı yerel ağda bulunan iki istemci arasındaki iletişimi korumak için kullanılır. Örneğin aynı LAN’da bulunan iki Windows 2000 Workstation istemcisi arasındaki trafiği korumak için IPSec Transport modda kullanılır. Bu modda her iki istemcinin de ağ protokolü olarak TCP/IP protokolünü kullanmaları gerekir.
Tunnel Mode :
Bu mod, sadece ağ geçitleri (gateway) arasındaki trafiğin korunması esasına dayanır. Bu modda paketler ağ geçidinden çıktıkları zaman şifrelenir ve hedef ağın ağ geçidine vardıklarında şifreleri çözülür. Bu modda iki ağ geçidi arasında bir tünel oluşturulur ve istemciden istemciye olan iletişim tünel protokolü kullanılarak enkapsüle edilir. Tüneller, IPSec kullanılarak oluşturulabileceği gibi, IPSec ve L2TP (Layer Two Tunneling Protocol) protokollerinin birlikte kullanıldığı bir VPN (Virtual Private Networking) bağlantısı kurmak için de kullanılabilir. Bu modda kaynak ve hedef istemci bilgisayarların IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu modda, ağ geçidi olarak bir tünel server, router, firewall veya VPN cihazı kullanılabilir.
IPSec protokolünü kullanarak IP ağınızı, DoS (Denial-of-Service), man-in-the-middle ve spoofing saldırılarında karşı koruyabilirsiniz. Örneğin, IPSec protokolünün aşağıda ele alacağımız integrity (bütünlük) ve authentication (kimlik doğrulama) özellikleri, iletişimi gerçekleştiren bilgisayarların birbirlerinin kimliklerinin doğrulanmasını sağlayarak IP spoofing ve man-in-the-middle saldırılarına karşı bir güvenlik önlemi sağlar. Bunun yanında IPSec’in IP paketlerini şifrelemesini sağlayarak bu paketlerin ağ üzerinde güvenli bir şekilde iletilmesini sağlayabilirsiniz. Böylece bu paketler ağ üzerindeki üçüncü bir kişi tarafından bir sniffer kullanılarak yakalansalar dahi paketlerin içeriği şifrelendiği için yakalanan paketler herhangi bir anlam ifade etmeyecektir.
IPSec IP trafiğini korumak için iki protokol kullanır. Bu protokoller Authentication Header (AH) protokolü ve Encapsulating Security Payload (ESP) protokolüdür. Bu protokolleri anlatmaya geçmeden önce IPSec’in güvenlik mimarisini oluşturan integrity (bütünlük), authentication (kimlik doğrulama) ve confidentiality (gizlilik) özelliklerinden bahsedelim.
Integrity : Integrity (bütünlük) terimi, gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını belirtmek için kullanılır. Yani integrity, gönderilen mesajın içeriğinin iletim sırasında birileri tarafından değiştirilip değiştirilmediğinin algılanmasını sağlar. IPSec’de integrity, hash fonksiyonları kullanılarak gerçekleştirilir. Hash fonksiyonları değişik uzunluktaki mesajları girdi olarak alır ve bir anahtar yardımıyla sabit uzunlukta bir çıktı üretirler. Bu çıktı message digest yada hash signature olarak adlandırılır. Orijinal mesajdaki bir karakterin bile değişmesi hash fonksiyonunun çıktısının tamamen farklı bir değer almasını sağlar. Hash fonksiyonları tek yönlüdür. Yani message digest değeri kullanılarak orijinal mesaj elde edilemez. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı message digest değeri ile mesajı gönderinin ilettiği message digest değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır.Alıcı bilgisayarın doğru message digest değerini hesaplayabilmesi için hash fonksiyonunda, mesajı gönderen bilgisayarın kullandığı anahtarı kullanması gerekir. Windows 2000’de kullanabileceğiniz hash fonksiyonları Message Digest 5 (MD5) ve Secure Hash Algorithm (SHA-1)’dir. Şimdi bu fonksiyonlara kısaca değinelim.
Message Digest 5 (MD5) : Ron Rivest tarafından geliştirilen ve RFC 1321 ‘de tanımlanan bu hash fonksiyonu, orijinal mesajı 512 bitlik bloklar halinde işleme sokar ve çıktı olarak 128 bitlik bir message digest değeri üretir.
Secure Hash Algorithm (SHA-1) :Orijinal mesajı 512 bitlik bloklar halinde işleme sokan bu hash fonksiyonu çıktı olarak 160 bitlik bir message digest değeri üretir.
Authentication : Authentication (kimlik doğrulama), iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. Windows 2000’de IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama metodu olarak aşağıdaki yöntemleri kullanabilirler.
Preshared Key : Bu kimlik doğrulama metodunda, iletişimde bulunan bilgisayarlar birbirlerinin kimliklerini doğrulamak için önceden belirlenen bir gizli anahtarı kullanırlar.Bu yöntemde kimlik doğrulaması aşağıdaki şekilde gerçekleşir;
• Mesajı gönderen bilgisayar challenge olarak adlandırılan bir miktar veriyi önceden belirlenen gizli anahtarı kullanarak hash fonksiyonuna sokar ve challenge ile hash fonksiyonunun sonucu olan message digest değerini alıcı bilgisayara yollar.
• Alıcı taraftaki bilgisayar aldığı challenge verisini kendisinde tanımlı bulunan gizli anahtarı kullanarak aynı hash fonksiyonuna sokar. Hash fonksiyonunun çıktısı olan message digest değerini ilk bilgisayara geri yollar.
• İlk bilgisayar aldığı message digest değerini kendi ürettiği değerle karşılaştırır ve message digest değerleri aynıysa karşı tarafın aynı gizli anahtarı kullandığını varsayar ve bu iki bilgisayar birbirine güvenir.
Kerberos Authentication : Windows 2000’de varsayılan kimlik doğrulama metodu Kerberos v5’dir. Bu metodda bir Kerberos sunucu Windows 2000 domaininde bulunan tüm bilgisayarlar ve kullanıcılar için gizli anahtarları yönetir. Bir bilgisayar diğer bir bilgisayarın kimliğini doğrulamak istediğinde Kerberos sunucuya başvurur. Bu yöntem aynı domain üyesi bilgisayarlar arasındaki kimlik doğrulama işlemi için oldukça elverişlidir. Ama iletişimde bulunacak bilgisayarlar aynı domain’e üye değillerse diğer iki yöntemden biri kullanılmalıdır.
Certificate Authority : Bu kimlik doğrulama metodunda bilgisayarlar birbirlerinin kimliklerini doğrulamak için sayısal sertifikaları kullanırlar. Her iki bilgisayarında güvendiği Certificate Authority (CA) tarafından imzalanan sertifikalar aracılığıyla kimlik doğrulama işlemi gerçekleşir.
Confidentiality : Confidentiality (gizlilik), gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir sniffer aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Windows 2000’de tanımlanan IPSec, IP paketlerini şifrelemek için DES (Data Encryption Standard) yada 3DES (Triple DES) algoritmalarından birisini kullanır. DES bir simetrik şifreleme algoritmasıdır ve veriyi şifrelemek ve şifrelenmiş veriyi çözmek için aynı anahtar kullanılır. DES, orijinal mesajı 64 bitlik bloklar halinde işleme sokar ve çıktı olarak da 64 bitlik şifrelenmiş veri blokları üretir. 3DES algoritması ise her bloğu üç kez şifreleme işlemine sokarak daha fazla güvenlik sağlar. Ayrıca DES, Cipher Block Chaining (CBC) tekniğini kullanarak mesaj içindeki aynı blokların şifreli çıktılarının farklı olmasını sağlar.
Şimdi IPSec’in IP ağ trafiğini korumak için kullandığı AH (Authentication Header) ve ESP (Encapsulating Security Payload) protokollerini kısaca inceleyelim.
Authentication Header (AH) :
Bu protokol, IPSec’in veri bütünlüğü (Integrity) ve kimlik doğrulama (Authentication) özelliklerini destekler. AH, veriyi şifreleyemediği için IPSec’in gizlilik (Confidentiality) özelliğini kullanamazsınız. Diğer bir deyişle, eğer ağ üzerindeki iletimin şifreli bir şekilde gerçekleşmesini istiyorsanız bu protokol ihtiyacınıza cevap vermeyecektir. Eğer AH protokolünü Transport modda kullanacaksanız bu durumda Authentication Header bilgisi, orijinal IP başlığı ile bir üst katman protokolünün (TCP yada UDP) başlığı arasına Şekil-1’de gösterildiği gibi yerleştirilir. AH başlığı sayesinde tüm paket için kimlik doğrulama özelliği, paketin imzalanmasıyla gerçekleşmiş olur. AH, HMAC (Hash-based Message Authentication Code) algoritmalarını (örneğin MD5 veya SHA-1 algoritmaları) kullanarak tüm paketi imzalar ve paket içindeki kaynak ve hedef adresleri ile pakette taşınan verinin iletim sırasında değiştirilmemesini sağlar.
Resim altı: Transport Modda orijinal IP başlığına AH bilgisinin eklenmesinden sonra oluşan paket yapısı.
AH protokolü Microsoft tarafından orta düzey bir güvenlik metodu olarak nitelendirir ve ağ üzerinde standart seviyede bir güvenlik isteyenler için önerir.
Encapsulating Security Payload (ESP) :
Bu protokol, IPSec’in veri bütünlüğü (Integrity), kimlik doğrulama (Authentication) ve gizlilik (Confidentiality) özelliklerinin üçünü birden destekler. Şekil-2’de ESP protokolü kullanılarak oluşturulmuş bir paketin Transport moddaki yapısını görebilirsiniz.
Transport Modda, ESP protokolü kullanılarak elde edilen paketin yapısı.
Yukarıdaki şekilde de görüldüğü gibi orijinal pakette sadece TCP başlğı, veri ve ESP trailer kısmı şifrelenir ve AH’nın tersine ESP paketin tamamını imzalamaz.(Tunneling modunda ESP paketin tamamını imzalar. Eğer orijinal IP paketinin de imzalanmasını istiyorsanız bu durumda AH ve ESP protokollerini birlikte kullanmalısınız.)
Yukarıdaki şekillerde, orijinal IP paket yapısının, IPSec’in Transport modunda AH ve ESP protokollerinin kullanılmasıyla nasıl değiştiğini ele aldık. IPSec’in Tunnel modunda kullanılması halinde orijinal paketlerin yapısının nasıl değiştiğini burada ele almadık. Bu konu hakkında geniş bilgi için makalenin sonunda verilen site adreslerini ziyaret edebilirsiniz.
Güvenlik Görüşmeleri (Security Negotiation)
IPSec kullanarak iletişim kuracak bilgisayarların, bu iletişim sırasında hangi algoritmaları ve protokolleri kullanacaklarını belirlemeleri gerekir. IPSec’de, iletişim sırasında kullanılacak metodların hangileri olacağını belirleme işlemine security associations (SA) denir. Kurulan SA’ları birbirinden ayırt edebilmek için Security Parameters Index (SPI)’ler kullanılır. SPI’ler üretilirken hedef bilgisayarın IP adresi ile rastgele seçilen bir sayı kullanılır. Böylece her bir SA’nin farklı ve tek (unique) bir SPI’ya sahip olması sağlanır.
Her bir SA’da aşağıdaki parametreler belirlenir.
· Şifreleme algoritması (DES yada 3DES)
· Oturum Anahtarı (Internet Key Exchange aracılığıyla belirlenir)
· Kimlik doğrulama algoritması (SHA1 yada MD5)
Anahtar Yönetimi
Anahtarlar, bilgisayarlar arasında kurulan iletişimde kimlik doğrulamayı, bütünlüğü ve gizliliği sağlamak için kullanılırlar. Anahtar yönetimi, anahtarların nasıl oluşturulacağını, bu anahtarların etkinliğini ve anahtarların hangi sıklıklarla değiştirileceğini ve kullanılan bu anahtarların ömürlerinin ne zaman dolacağını tanımlar. Anahtar yönetimi manuel yada otomatik olarak gerçekleştirilebilir.Ama ölçeklenebilirlik göz önünde tutulduğunda anahtar yönetimi için tercih edilen yöntem otomatik anahtar yönetimidir. Otomatik anahtar yönetimi, Internet Security Association Key Management Protocol (ISAKMP) ve Oakley Protocol (Oakley) protokollerinin bir kombinasyonudur (ISAKMP/Oakley) ve genellikle Internet Key Exchange (IKE) olarak anılır.
Anahtar yönetimi iki aşamadan oluşur. İlk aşamada ISAKMP SA kurulur ve bu aşama main mode olarak adlandırılır.İkinci aşamada ise IPSec SA kurulur ve bu aşama da quick modeolarak adlandırılır. ISAKMP SA çift yönlü, IPSec SA ise tek yönlü olarak kurulur. IPSec SA tek yönlü kurulduğundan iletişimde bulunacak bilgisayarlar arasında en az iki tane IPSec SA kurulur.
Main modda, iletişimde bulunacak bilgisayarların hangi kimlik doğrulama metodunu, hangi hash fonksiyonunu ve hangi şifreleme algoritmasını kullanacaklarına karar verilir. Ayrıca bu modda, Oakley protokolünün anahtar değişim işlemini yönetmesi için kullanılacak bir Diffie-Hellman grubu belirlenir. ISAKMP/Oakley, Diffie-Hellman protokolünü, iletişimde bulunacak iki sistem arasında güvenli bir kanal oluşturmak için kullanılacak bir paylaşılmış simetrik anahtarı (shared symmetric key) oluşturmak ve anahtarın bu iki sistem arasında değiş tokuş edilmesini sağlamak için kullanır.
ISAKMP SA kurulumu ile güvenli bir kanal oluşturulduktan sonra IPSec SA’lar kurulur. IPSec SA’ların kurulumu yani quick mode işlemi yukarıda anlatılan main mode kurulumu ile aynıdır. Sadece kullanılacak her bir protokol için (AH veya ESP) ve her bir yön için (gelen ve giden trafik için) birer IPSec SA kurulur. Kurulan bu IPSec SA’ların her biri kendi şifreleme algoritmasına, hash algoritmasına ve kimlik doğrulama metoduna sahiptir ve bunlar diğer IPSec SA’larda kullanılanlardan farklı olabilir.Bunun yanında her iki modda kullanılan paylaşılmış simetrik anahtarlar (shared symmetric key) farklıdır.
Windows 2000’de IPSec
Yukarıda, IPSec mimarisini oluşturan bileşenler hakkında teorik bilgiler anlatıldı. Bundan sonraki kısımda Windows 2000’de IPSec ‘in nasıl kullanılacağına değineceğiz. Windows 2000’de IPSec’in nasıl konfigüre edileceğine geçmeden önce hangi sistemlerde IPSec kullanmanız gerektiğine aşağıdaki soruları yanıtlayarak karar vermelisiniz.
· Genel olarak ağ üzerinde hangi tip veriler iletilir? Bu veriler ne kadar önemlidir? Bu veriler arasından müşteri kayıtları, şirketinizin ticari sırları gibi bilgiler var mı?
· Bu önemli veriler nerede saklanıyor? Bu veriler, ağ üzerindeki hangi bilgisayarlar tarafından kullanılıyor?
· Internet gibi açık ağlarla bağlantınız var mı? Önemli verileriniz bu bağlantı kullanılarak iletiliyor mu? Yerel ağ trafiğini güvenliğini sağlamak sizin için önemli mi?
Yukarıdaki soruların cevabını vererek IPSec’i uygulanacağı alanı, yani hangi bilgisayarlar arasındaki hangi tür iletişimde IPSec’i kullanacağınızı belirleyebilirsiniz.
Windows 2000’de IPSec konfigürasyonu ve bu konfigürasyonun bilgisayarlara dağıtılması işlemi için Active Directory ve Group Policy kullanılır. Yani Windows 2000’de IPSec kullanmak istiyorsak bir policy (ilke) oluşturmalıyız. Oluşturacağımız bu ilke, bir domain seviyesinde uygulanabileceği gibi yerel bilgisayarlarda kullanılacak şekilde de oluşturulabilir.
IPSec ilkelerinin yönetildiği yönetim konsolu
IPSec ilkelerinin nasıl oluşturulacağına geçmeden önce bir IPSec ilkesinin hangi bileşenlerden oluştuğuna kısaca değinelim. Şekil-3’de görüldüğü gibi bir IPSec ilkesinde en az bir tane IPSec kuralı bulunmalıdır. IPSec kuralında, IP süzme listeleri, süzme eylemleri ve kimlik doğrulama metodları bulunur ve bu bileşenlerin farklı kombinasyonları ile değişik IPSec kurallar oluşturulabilir. Yani oluşturduğunuz bileşenleri başka IPSec kurallarını tanımlarken de kullanabilirsiniz. IP süzme listesi (IP), oluşturulan ilkenin, hangi IP adresleri arasındaki hangi portlar kullanılarak gerçekleştirilen trafiğe uygulanacağını belirlemek için kullanılır. Oluşturulan bir IPSec kuralı içinde sadece bir tane IP süzme listesi kullanabilirsiniz. Süzme eylemi ise, IP süzme listesinde tanımlanan trafiğe uyan bir bağlantı isteğine nasıl cevap verileceğini belirler. Kimlik doğrulama metotları ise, bağlantı kuracak iki bilgisayarın birbirlerinin kimliklerini hangi metodu kullanarak gerçekleştireceğini belirler. Windows 2000’de tanımlanan IPSec, Kerberos, Preshared Key ve Certificate Authority metotlarını kimlik doğrulama metodu olarak kullanabilir.
Windows 2000’de IPSec ilke bileşenleri
· Client (Respond Only): İsminden de anlaşılacağı gibi bu ilke özellikle istemci bilgisayarlar düşünülerek hazırlanmıştır. Eğer bilgisayara bu ilkeyi atarsanız (assign), sadece karşı taraftan güvenli iletişim isteğinde bulunulduğunda IPSec bağlantısı kurulur. Karşı taraf güveli bir bağlantı isteğinde bulunmadığı sürece bağlantıda IPSec kullanılmaz.
· Server (Request Security): Bu ilke, sunucular düşünülerek hazırlanmıştır ve bu ilkenin atandığı sunucular kendisinden istekte bulunan istemcilere ilk önce güvenli bağlantı kurma isteği yollar. Eğer istemciler güvenli bağlantı kurma yeteneklerine sahiplerse iki bilgisayar arasındaki trafik IPSec kullanarak korunur. Aksi durumda, yani istemciler güvenli bağlantı kurma yeteneklerine sahip değillerse (diğer bir değişle bu istemcilerde IPSec ilkesi konfigüre edilmemişse) bu durumda iletişim IPSec kullanılmadan gerçekleştirilir. Bu ilkeyi, dosya sunucusu olarak kullandığınız ve hem Windows 2000/XP Professional gibi IPSec kullanabilen istemcilere hem de Windows 98/NT gibi IPSec kullanamayan istemcilere hizmet veren Windows 2000 sunucular için kullanabilirsiniz. Böylece IPSec kullanabilen istemciler ile güvenli bağlantılar gerçekleştirilirken, IPSec kullanamaya istemciler ile de güvenli olmayan bağlantılar kurulabilecektir.
· Secure Server (Require Security) : Bu ilkenin atandığı sunucular sadece güvenli bağlantı isteğine cevap verebilen istemcilerle bağlantı kurabilirler. Bu durumda güvenli bağlantı kurma yeteneklerine sahip olmayan istemciler bu sunucuyla herhangi bir bağlantı kuramayacaklardır
Yukarıdaki IPSec ilkelerini herhangi bir bilgisayara uygulamak istediğinizde ilkenin üzerine mouse ile sağ tıklayıp açılan menüden Assign seçeneğini seçmeniz yeterli olacaktır. Bilgisayar atanan ilkenin hangisi olduğunu anlamak için ilkelerin isimlerinin yanında bulunan simgelere bakabilirsiniz. Aktif ilkenin başındaki simgede küçük yeşil bir işaret bulunur. Aynı anda sadece bir tane IPSec ilkesini bilgisayara atayabilirsiniz.
Bundan sonraki anlatımlarımızda, Şekil-5’de gösterilen örnek ağ topolojisini kullanacağız. DMZ ağında bulunan Web sunucu üzerinde şirketimizin Web sitesi yayınlanıyor olsun. Biz bu sunucuyu uzaktan yönetmek için Windows 2000’in terminal servisini kullanalım. Ayrıca sitenin güncellemesini ise FTP kullanarak gerçekleştiriyoruz ve sitenin yönetimini Web browser aracılığıyla gerçekleştirmek istediğimizde ise sunucunun 5953 numaralı TCP portunu kullanıyoruz.Tüm bu yönetim işlerinde kullandığımız bilgisayar ise Wrk01 isimli bilgisayar. Wrk01 ile Web sunucu arasındaki tüm iletişimin IPSec kullanarak güvenli bir şekilde gerçekleştirilmesini istiyoruz. Bunun yanında, sadece Wrk01 bilgisayarının Web sunucudaki FTP, Terminal servisi ve 5953 numaralı TCP portlarına bağlantı gerçekleştirebilmesini, diğer bilgisayarlardan bu portlara gelecek bağlantı isteklerinin ise kabul edilmemesini istiyoruz. Son olarak Web sunucuda yayınladığımız Web sitesi herkese açık olduğu için bu sunucunun 80 (HTTP) ve 443 (HTTPS) numaralı TCP portlarına gelen tüm isteklerin ise IPSec kullanılmadan yanıtlanmasını istiyoruz.
Örnek ağ topolojisi
Yukarıdaki tüm bu istekleri, oluşturacağımız IPSec ilkeleri sayesinde gerçekleştirebiliriz. Bu ilkelerden bir tanesini Web sunucu üzerinde diğerini ise Wrk01 adlı bilgisayar üzerinde tanımlayacağız. Öncelikle Web sunucusu üzerinde tanımlayacağımız IPSec ilkesini oluşturmaya başlayalım. Bunun için yönetim konsolundaki Local Computer Policy->Computer Configuration->Windows Settings-> IP Security Policies on Local Machine objesine sağ tıklayıp açılan menüden Create IP Security Policy seçeneğini seçiyoruz. Karşımıza çıkan sihirbaz ekranındaki Next butonuna basarak IP Security Policy Name başlıklı pencereye geçiyoruz. Bu pencerede, oluşturacağımız IPSec ilkesine vereceğimiz ismi belirliyoruz. Next butonuna basıp ilerlediğimizde karşımıza Requests for Secure Communication başlıklı pencere çıkacaktır. Eğer buradaki Activate the default response rule seçeneğini seçerseniz gelen bağlantı isteği IPSec ilkesi içindeki kurallara uymayan bir istekse bu durumda varsayılan kural uygulanacaktır. Varsayılan kural, bağlantı kurmak isteyen istemcilere öncelikli olarak güvenli bağlantı kurma isteği yollanacak şekilde oluşturulmuştur. Eğer istemci güvenli bağlantı kurma yeteneğine sahip değilse bu istemcilerle bağlantı kurulacak fakat kurulacak bağlantı güvenli olmayan bir bağlantı olacaktır. Örneğimizde IPSec ilkesi içindeki tüm kuralları kendimiz tanımlamak istediğimiz için bu seçeneği seçmiyoruz. Next butonuna basıp ilerlediğimize karşımıza çıkan penceredeki Edit Properties seçeneğini seçili bırakarak Finish butonuna basıyoruz.Karşımıza çıkacak bir sonraki pencere Şekil-6’daki pencere olacaktır. Bu pencerede, IPSec ilkesi içinde tanımlanan IPSec kuralları listelenir ve bu kurallardan hangilerinin uygulanıp hangilerinin uygulanmayacağı bu pencere kullanılarak belirlenir. Uygulamak istediğiniz kuralın önündeki kutucuğu işaretlerseniz o kural IPSec ilkesi içerisinde aktif olacaktır.
IPSec ilkesi içinde oluşturulan kuralların listelendiği pencere
Örneğimizdeki Web sunucu üzerinde tanımlanan IPSec ilkesi içinde üç tane IPSec kuralı oluşturacağız. Bu kurallardan bir tanesi, Web sunucudan Wrk01 bilgisayarına FTP (TCP 20 ve 21 numaralı portlar), Terminal servisi (TCP 3389 numaralı port) ve Web sitesini yönetmek için kullanılan 5953 numaralı TCP portuna yapılacak bağlantıların güvenli bağlantılar olmasını sağlayacak, diğer bir kural Web sunucuya gelen HTTP (TCP 80 numaralı port) ve HTTPS (TCP 443 numaralı port) bağlantı isteklerinin güvenli olmayan bağlantılar kullanılarak cevaplanmasını sağlayacak, son kural ise yukarıdaki kurallarda belirlenen kriterlere uymayan tüm bağlantı isteklerinin reddedilmesini sağlayacak. Wrk01 adlı bilgisayarda oluşturacağımız IPSec ilkesinde ise, sadece Web sunucunun 20, 21, 3389 ve 5953 numaralı TCP portlarına yapılacak bağlantıların güvenli bağlantılar olmasını sağlayacak bir tek kural tanımlamamız yeterli olacaktır. Böylece IPSec kullanarak hem paket filtreleme, hem de güvenli bağlantı kurma işlemini bir arada yapmış olacağız.
Yeni bir kural oluşturmak istediğimiz için Şekil-6’daki pencerede bulunan Add butonuna basıyoruz. Eğer yeni kural oluşturma sırasında sihirbaz kullanmak istiyorsanız bu durumda Use Add Wizard seçeneğini seçmelisiniz. Add butonuna basıp yeni kural oluşturma işlemini başlatıyoruz. Karşımıza çıkan ilk pencereyi Next butonuna basarak geçiyoruz. Bir sonraki pencere Tunnel Endpoint başlıklı pencere olacaktır. Eğer IPSec’i tunnel modunda kullanacaksanız bu penceredeki The tunnel endpoint is specified by this IP address seçeneğini seçerek kurulacak tünelin uç noktası olarak konfigüre edilen cihazın IP adresini yazmalısınız. Örneğimizde IPSec’i Transport modda kullanacağımız için bu penceredeki This rule does not specify a tunnel seçeneğini seçerek Next butonuna basıp ilerliyoruz. Bir sonraki pencere, oluşturulacak kuralın hangi tür ağ bağlantılarında kullanılacağının belirlendiği Network Type başlıklı penceredir. Bu pencerede All Network Connection, Local area network (LAN) ve Remote access olmak üzere üç seçenek bulunur. Oluşturacağımız kural yerel ağ içinde geçerli olacağında Local area network seçeneğini seçip Next butonu basarak ilerliyoruz. Bir sonraki pencere, bu kuralda kullanılacak kimlik doğrulama metodunun belirlendiği Authentication Method başlıklı Şekil-7’deki pencere olacaktır.
Oluşturulan kural içinde hangi kimlik doğrulama metodunun kullanılacağının belirlendiği pencere
Daha önce de değindiğimiz gibi Windows 2000’de tanımlanan IPSec, kimlik doğrulama metodu olarak Kerberos, Certificate Authority ve Preshared Key yöntemlerini destekler. Eğer güvenli iletişim kuracak bilgisayarlar aynı etki alanı (domain) üyesi iseler kimlik doğrulama metodu olarak Kerberos en kolay çözüm olacaktır. Örneğimizde kimlik doğrulama metodu olarak preshared key yöntemi seçtik. Eğer kimlik doğrulama metodu olarak preshared key yöntemini seçerseniz, bağlantı kuracak tüm bilgisayarlarda aynı anahtarı kullanmalısınız. Aksi takdirde anahtarlar uyuşmayacağı için kimlik doğrulaması gerçekleşemeyecek ve bağlantı kurulamayacaktır. Microsoft, kullanılacak anahtarın en az 20 karakter olması öneriyor. Ama siz isterseniz 1000 karakterden daha fazla uzunlukta bir anahtar kullanabilirsiniz. Next butonuna basıp ilerlediğimizde karşımıza IP süzme listelerinin bulunduğu IP Filter List başlıklı pencere çıkacaktır. Bu pencerede önceden oluşturulmuş IP süzme filtreleri listelenir. Bir IPSec kuralı içinde sadece bir tane IP süzme listesi bulunabilir. Mevcut IP süzme listeleri ihtiyacımızı karşılayamadığı için bu penceredeki Add butonuna basarak yeni bir IP süzme listesi oluşturmaya başlıyoruz. Karşımıza, IP Filter List başlıklı bir pencere çıkacaktır. Bu pencerede, oluşturacağımız IP süzme listesi için bir isim belirleyebilir ve bu IP süzme listesi hakkında bir açıklama yazabiliriz. Bu penceredeki Add butonuna basarak önceden belirlediğimiz kriterlere uyan trafiği belirlemeye başlıyoruz.
Oluşturacağımız ilk IP süzme listesi içerisinde Wrk01 bilgisayarından Web sunucunun 20, 21, 3389 ve 5953 numaralı TCP portlarına gelecek bağlantıları tanımlayacağız. Her bir bağlantı için IP süzme listesine Add butonuna basarak birer filtre gireceğiz. Öncelikle Web sunucudan Wrk01 bilgisayarına, Web sunucunun 20 numaralı TCP portunu kullanarak gerçekleştirilecek bağlantıyı tanımlayan bir filtre oluşturalım. Add butonuna bastığımızda karşımıza çıkacak sihirbaz ekranını Next butonuna basarak geçiyoruz. Bir sonraki pencere, kaynak IP adresinin belirlendiği IP Traffic Source başlıklı pencere olacaktır. Bu penceredeki Source Address kısmında My IP Address, Any IP Address, A specific DNS Name, A specific IP Address ve A specific IP Subnet olmak üzere beş seçenek bulunur. Kaynak adresi olarak, üzerinde kural tanımladığımız bilgisayarın IP adresini belirleyeceğimiz için buradaki seçeneklerden My IP Address seçeneğini seçip Next butonuna basarak IP Traffic Destination başlıklı pencereyi açıyoruz. Hedef adresin belirlendiği bu penceredeki Destination Address kısmına Wrk01 bilgisayarının IP adresini (192.168.0.10) yazıp Next butonuna basarak protokol tipinin belirlendiği IP Protocol Type başlıklı pencereyi açıyoruz. Bu penceredeki Select a protocol type kısmından TCP protokolünü seçip Next butonuna basarak ilerliyoruz. Bir sonraki pencere, bağlantı sırasında kullanılacak portların belirlendiği IP Protocol Port başlıklı penceredir. Bu penceredeki seçeneklerden From this port seçeneğini seçerek buraya 20 yazıyoruz. Alttaki seçeneklerden ise To any port seçeneğini seçip Next butonuna basarak ilerliyoruz. Son olarak karşımıza çıkan penceredeki Finish butonuna basarak filtre oluşturma işlemini bitiriyoruz. Yukarıdaki adımları 21, 3389 ve 5953 numaralı TCP portlarını içeren filtreleri oluşturmak için de tekrarlıyoruz. Filtre oluşturma işlemi bittikten sonra IP Süzme listesi Şekil-8’de görüldüğü gibi olmalıdır. Wrk01 bilgisayarında tanımlayacağınız IP süzme listesi ise Şekil-8’deki listeye benzeyecektir. Aralarındaki tek fark Şekil-8’deki listede bulunan hedef ve kaynak IP adresleri ile hedef ve kaynak port numaralarının yerlerinin değişmiş olmasıdır.
Oluşturulan IP süzme listesinin son hali
IP süzme listesini oluşturduktan sonra Close butonuna basarak IP Filter List başlıklı pencereye geri dönüyoruz. Bu pencerede listelene IP süzme listeleri arasından az önce oluşturduğumu seçip Next butonuna basıyoruz. Karşımıza Filter Action başlıklı bir pencere çıkacaktır. Bu penceredeki Filter Actions kısmında önceden tanımlanmış süzme eylemleri listelenir. Eğer buradaki süzme eylemleri sizin ihtiyacınıza cevap vermiyorsa bu durumda Add butonuna basarak yeni bir süzme eylemi oluşturabilirsiniz.Yeni bir süzme eylemi oluşturmak için Add butonuna basıp, karşınıza çıkacak sihirbaz ekranında Next butonu yardımıyla ilerliyoruz. Bir sonraki pencere, oluşturacağımız süzme eylemine vereceğimiz ismi belirleyeceğimiz Filter Action başlıklı pencere olacaktır. Oluşturduğumuz süzme eylemine uygun bir isim verip Next butonuna basarak ilerliyoruz. Bir sonraki pencere, Filter Action General Options başlıklı pencere olacaktır ve bu pencerede bir önceki adımda oluşturduğumuz IP süzme listesine uygulanacak süzme eyleminin ne olacağı belirlenir. Bu pencerede üç seçenek vardır. Bu seçeneklerden Permit seçeneğini seçerseniz önceki adımda seçtiğimiz IP süzme listesinde tanımlanan trafiğe izin verilecek, seçeneği Block olarak seçerseniz trafiğe izin verilmeyecektir. Eğer IP süzme listesinde belirttiğiniz trafiğin güvenli bağlantı üzerinden gerçekleşmesini istiyorsanız Negotiate security seçeneği seçmelisiniz. Negotiate security seçeneğini seçip Next butonuna basarak ilerlediğimizde karşımıza Communicating with computers that do not support IPSec başlıklı pencere çıkacaktır. Eğer bu penceredeki Do not communicate with computers that do not support IPSec seçeneğini seçerseniz IPSec kullanamayan bilgisayarlarla bağlantı kurulmayacaktır. Eğer IPSec kullanamayan bilgisayarlar ile bağlantı kurulmasını istiyorsanız bu durumda Fall back to unsecured communication seçeneğini seçmelisiniz.Bu seçeneği seçerken dikkatli olmalısınız. Aksi takdirde oluşturduğunuz tüm bu IPSec ilkesi bir işe yaramayabilir. Örneğimizde Do not communicate with computers that do not support IPSec seçeneğini seçip Next butonuna basarak ilerliyoruz. Bir sonraki pencere, güvenli bağlantı için IPSec’in hangi protokolünün kullanılacağının belirlendiği Şekil-9’daki IP Traffic Security başlıklı pencere olacaktır.
Hangi IPSec protokolünün uygulanacağının belirlendiği IP Traffic Security başlıklı pencere
Bu penceredeki High (Encapsulated Secure Payload) seçeneğini seçerseniz IPSec protokolü olarak ESP, Medium (Authenticated Header) seçeneğini seçerseniz AH protokolü kullanılacaktır. Bunun yanında eğer varsayılan ESP ve AH ayarlarında değişiklik yapmak istiyorsanız Custom seçeneğini seçerek ilgili değişiklikleri (örneğin kullanılacak hash algoritmasını ve şifreleme algoritmasını) istediğiniz gibi ayarlayabilirsiniz. Örneğimizde ESP protokolünü kullanacağımız için High (Encapsulated Secure Payload) seçeneğini seçip Next butonuna basıyoruz. Son olarak karşımıza çıkan penceredeki Finish butonuna basarak süzme eylemi oluşturma işlemini bitiriyoruz. Oluşturduğumuz bu süzme eylemi, süzme eylemlerinin listelendiği Filter Action penceresine eklenecektir. Oluşturduğumuz bu süzme eylemini seçip Next butonuna basarak ilerliyoruz. Bir sonraki pencerede bulunan Finish butonuna basarak IPSec ilkesi içindeki ilk kuralımızı oluşturuyoruz.
Yukarıdaki adımları tekrarlayarak 80 ve 443 numaralı TCP portları kullanılarak gerçekleştirilen bağlantılara izin verecek ve bunun haricindeki tüm bağlantıları yasaklayacak iki tane daha IPSec kuralı oluşturuyoruz. Oluşturduğumuz IPSec ilkesinin son hali Şekil-10’da gösterildiği gibi olmalıdır.
Web sunucu için oluşturduğumuz IPSec ilkesinin son hali
IPSec ilkesi içinde birden fazla IPSec kuralı tanımlayabiliyoruz. Peki oluşturulan bu kurallar hangi sıraya göre işleme sokulur? Şekil-10’da gösterildiği gibi, örneğimizdeki Web sunucu üzerinde tüm IP trafiğini yasaklayan bir kuralın yanında, 80 ve 443 numaralı TCP portlarına gelecek bağlantı isteklerine cevap verecek bir kural daha tanımladık. Peki bu kurallar çakışmaz mı? Windows 2000, IPSec kurallarını işleme sokarken daha belirleyici olana öncelik tanır. Kaynak ve hedef IP adresine göre öncelik sırası şöyledir; My IP Address, Specific IP Address, Specific IP Subnet ve Any IP Address. IP süzme listesi oluştururken kullanılacak protokolü belirtmişseniz bu kural, kullanılacak protokolün herhangi (Any) bir protokol olarak belirlendiği kurala göre daha önceliklidir. Aynı şekilde port numarası belirlenen kural, port numarasının belirtilmediği kurala göre daha önceliklidir.
Web sunucu için oluşturduğumuz IPSec ilkesinden sonra Wrk01 bilgisayarından da bir IPSec ilkesi oluşturuyoruz. Bu ilkede tanımlayacağımız kuralla Wrk01 bilgisayarından Web sunucunun 20, 21, 3389 ve 5953 numaralı TCP portlarına yapılacak bağlantıların IPSec kullanılarak gerçekleştirilmesini sağlayacağız. Bu kuralı yukarıda anlattıklarımızı baz alarak kendiniz oluşturabilirsiniz.
Her iki bilgisayar üzerinde oluşturduğumuz bu ilkeleri bilgisayarlara atamadığımız sürece ilkeler kullanılmayacaktır. Oluşturulan bir IPSec ilkesini bilgisayara atamak için Microsoft Yönetim konsolunda listelenen IPSec ilkelerinden atamak istediğimizin üzerine sağ tıklayıp açılan menüden Assign seçeneğini seçmemiz yeterli. Daha sonra yaptığımız bu değişikliğin hemen etkili olması için secedit komutu yardımıyla bilgisayar ilkelerini güncelliyoruz. Aşağıdaki komutu her iki bilgisayarda da çalıştırıyoruz.
secedit /RefreshPolicy MACHINE_POLICY
Şimdi sıra, oluşturduğumuz IPSec ilkelerinin düzgün çalışıp çalışmadığını denemeye geldi. Bunun için Wrk01 bilgisayarından Web sunucu bilgisayarına bir FTP bağlantısı gerçekleştiriyoruz. Daha sonra Web sunucudaki Olay Görüntüleyicisindendeki (Event Viewer) Güvenlik (Security) konteynırında 541 numaralı olayı buluyoruz. 541 numaralı olay bize iki bilgisayar arasında bir IPSec SA’nın başarıyla kurulduğunu söyler. Şimdide IPSec kullanarak gerçekleştirilen trafiğin ağ izleme programları aracığıyla yakalanması durumunda paketlerin nasıl göründüğünü inceleyelim. Şekil-11’de Sniffer Pro yazılımı kullanılarak yakalanan ve 192.168.0.3 ile 192.168.0.10 bilgisayarları arasında gerçekleşen FTP trafiğini görebilirsiniz. Bu trafik normal bir FTP oturumu olmasına karşın paketlerin çözülmesi (decode) ve bu paketlerin FTP protokolüne ait paketler olduğunun anlaşılması oldukça zordur.
Sniffer Pro kullanılarak yakalanan IPSec trafiği
Windows 2000’de, kurulan IPSec SA’larını görebilmeniz için geliştirilen bir program mevcuttur. IP Security Monitor isimli bu programı çalıştırmak için Start->Run ‘dan ipsecmon yazıp Enter butonuna basıyoruz. Karşımıza Şekil-12’deki ekran çıkacaktır. Bu ekran yardımıyla IPSec ve ISAKMP/Oakley istatistiklerini, programın çalıştırıldığı bilgisayarda IPSec’in aktif olup olmadığını ve hangi bilgisayarlar arasındaki hangi trafiğin IPSec kullanılarak korunduğunu görebilirsiniz. Bu ekran her 15 saniyede bir güncellenir. Eğer bu zaman aralığını azaltmak yada arttırmak isterseniz Options butonunu kullanabilirsiniz.
IP Security Monitor uygulaması
Windows XP ve Windows 2003’de IP Security Monitor uygulaması bir eklenti (snap-in) olarak gelir ve bu uygulamayı çalıştırmak için bir MMC gerekir. Ayrıca bilgisayarınızdaki aktif IPSec ilkesi hakkında daha fazla bilgi istiyorsanız Windows 2000 Support Tools içinde bulunan netdiag.exe programını kullanabilirsiniz. (Bu program kullanmak için Windows 2000 CD’si içindeki Support Tools uygulamasını kurmalısınız.). Örneğin bu programı aşağıdaki anahtarlar yardımıyla netdiag /test:ipsec /debug şeklinde çalıştırarak bilgisayarınızdaki aktif IPSec ilkesi hakkında oldukça geniş bilgilere sahip olabilirsiniz.
Faydalanılan Kaynaklar
Securing W2K with IP Filters: Part 1 (Step-by-Step How-To Guide) Securing W2K with IP Filters: Part 2 (Implementing Encryption) Using IPSEC to Lock Down a Server How to Enable IPSEC Through a Firewall Basic IPSec Troubleshooting in Windows 2000 Bilgisayar Haberleşmesi ve Ağ Teknolojisi (Dr.Rıfat Çolkesen,Prof.Dr.Bülent Örencik) Teori ve Uygulamalar İle TCP/IP ve Ağ Güvenliği (Can Okan Dirican-Açık Akademi) Ağ Güvenliği İpuçları (Andrew Lockart-Açık Akademi) |
Hiç yorum yok:
Yorum Gönder