Ağ Güvenliği

Tanım

Ağ güvenliği, verilerin ağlar üzerinden aktarılırken gizliliğini, bütünlüğünü ve erişilebilirliğini, ayrıca ağ cihazlarının ve hizmetlerinin kendilerini kötü niyetli faaliyetlere karşı koruma uygulamasıdır.

Kapsam

Kriptografi ve güvenlik açısından ele alınan bu konu, ağ tabanlı iletişime özgü tehditleri ve bunlara karşı savunmaları kapsamaktadır: ağ katmanı şifrelemesi (IPsec, VPN'ler), güvenlik duvarları ve ağ segmentasyonu, izinsiz giriş tespiti ve önlenmesi, hizmet reddi hafifletme ile DNS ve yönlendirme güvenliği. Kriptografinin, yol üzerindeki saldırganlara karşı trafiği nasıl güvence altına aldığını ele almaktadır. TLS'nin güvenli kanal protokolü detaylarını ve bilgisayar ağları altında ele alınan ağ mimarisi konularını kapsamamaktadır.

Temel sorular

• Güvenilmeyen ağlar üzerinden geçerken verileri ve hizmetleri hangi saldırılar tehdit etmektedir?
• Ağ katmanı kriptografisi (IPsec, VPN'ler) trafiği uygulamalara şeffaf bir şekilde nasıl korumaktadır?
• Güvenlik duvarları ve segmentasyon, bir saldırganın ağ içindeki erişimini nasıl sınırlamaktadır?
• Saldırılar ve anormal trafik nasıl tespit edilmekte ve kontrol altına alınmaktadır?
• DNS ve yönlendirme gibi temel hizmetler, kimlik sahtekarlığı ve kaçırmadan nasıl korunmaktadır?

Anahtar kavramlar

• yol üzerindeki (ortadaki adam) saldırgan
• IPsec ve VPN'ler
• güvenlik duvarları
• ağ segmentasyonu
• izinsiz giriş tespiti ve önlenmesi
• hizmet reddi hafifletme
• DNS güvenliği (DNSSEC)
• ARP ve rota kimlik sahtekarlığı
• paket filtreleme

Temel kuramlar

Derinlemesine savunma ve segmentasyon

Ağlar, katmanlı, bağımsız kontrollerle — çevre güvenlik duvarları, dahili segmentasyon, ana bilgisayar savunmaları ve izleme — savunulmaktadır; böylece bir katmanın ihlal edilmesi, tüm ağda serbest hareket imkanı sağlamamaktadır.

Aktarım halindeki trafiğin kriptografik olarak korunması

Ağ trafiğinin gizliliği ve bütünlüğü, paketleri (IPsec) veya oturumları şifreleyerek ve doğrulayarak sağlanmaktadır; bu sayede yol üzerindeki bir saldırgan tarafından yapılan gizlice dinleme ve kurcalama engellenmektedir.

Mekanizmalar

Ağ katmanı güvenliği, IP paketlerini (IPsec'in ESP ve AH) şifreler ve doğrular; uygulamaların değişmesine gerek kalmadan ağ geçitleri veya ana bilgisayarlar arasında tüneller kurar. Güvenlik duvarları, adreslere, bağlantı noktalarına ve bağlantı durumuna göre paketleri filtreleyerek politikayı uygular; segmentasyon ise ağ bölgelerini izole eder. Saldırı tespit sistemleri, trafikleri imza veya anormallikler açısından inceler ve DNSSEC, sahte yanıtları önlemek için DNS kayıtlarını imzalar. Bu kontroller, bir düşmanın yol üzerindeki trafiği gözlemleyebileceği veya enjekte edebileceği varsayımına dayanmaktadır.

Klinik önem

Ağ güvenliği, uzaktan çalışma ve kurumsal operasyonların temelini oluşturmaktadır: VPN'ler ve IPsec, şube ofislerini ve uzaktaki çalışanları güvenli bir şekilde bağlar, güvenlik duvarları ve segmentasyon ihlal durumlarını sınırlar ve DDoS hafifletme, çevrimiçi hizmetlerin erişilebilir kalmasını sağlar. Yüksek profilli olaylar — BGP rota kaçırmaları, DNS önbellek zehirlenmesi ve büyük botnet kaynaklı DDoS saldırıları — bu korumaların başarısız olması durumunda neler olduğunu göstermektedir.

Kanıt ve kılavuzlar

IPsec, RFC'ler (4301 ve ilgili) aracılığıyla standartlaştırılmıştır, DNSSEC RFC 4033-4035'te yer almaktadır ve NIST SP 800-41 (güvenlik duvarları) ile SP 800-77'de (IPsec VPN'ler) rehberlik sağlanmaktadır. Modern rehberlik, düz, yalnızca çevreye dayalı ağlar yerine sıfır güven segmentasyonunu (NIST SP 800-207) desteklemektedir ve MITRE ATT&CK çerçevesi, ağ kaynaklı saldırı tekniklerini kataloglamaktadır.

Tarihçe

TCP/IP ağları büyüdükçe ağ güvenliği acil bir ihtiyaç haline gelmiştir: 1988 Morris solucanı erken internete yayıldı, 1990'lar güvenlik duvarlarını ve ilk VPN'leri getirdi ve IPsec, ağ katmanını güvence altına almak için standartlaştırıldı. DNS'teki (Kaminsky'nin 2008 önbellek zehirlenmesi saldırısı) ve yönlendirmedeki (BGP kaçırmaları) tekrarlanan olaylar, DNSSEC ve yönlendirme güvenliği önlemlerinin dağıtımını hızlandırdı; DDoS saldırıları ise kalıcı bir tehdit haline geldi.

Öne çıkan isimler

• William Stallings
• Ross Anderson
• Steven Bellovin
• Radia Perlman

İlgili konular

• tls and secure channels
• authentication and access control
• key exchange and establishment

Temel eserler

• stallings2017
• anderson2020
• kurose2021

Sıkça sorulan sorular

Bir VPN beni çevrimiçi ortamda anonim yapar mı?

Bir VPN, sizinle VPN sunucusu arasındaki trafiği şifreleyerek, yerel ağınızdan ve İnternet Servis Sağlayıcınızdan (İSS) gizler ve IP adresinizi hedef sunuculardan maskeler. Ancak tam anonimlik sağlamaz: VPN sağlayıcısı trafiğinizi görebilir ve diğer izleme yöntemleri (çerezler, hesaplar, parmak izi alma) sizi hala tanımlamaktadır.

Trafik TLS ile şifreleniyorsa, ağ güvenliğine neden hala ihtiyaç duyulmaktadır?

TLS, bireysel uygulama oturumlarını korur; ancak ağlar aynı zamanda hizmet reddi, izinsiz giriş, bir ihlal sonrası yanal hareket, DNS ve yönlendirme saldırıları ile şifrelenmemiş veya yanlış yapılandırılmış hizmetlerle de karşı karşıyadır. Ağ düzeyindeki savunmalar, oturum başına şifrelemenin tek başına ele alamayacağı tehditleri ele almaktadır.

Bu kavram için yöntemler

• Intrusion Detection System
• TLS Protocol Analysis
• Deep Packet Inspection
• Symmetric Key Cryptanalysis
• Vulnerability Assessment
• Software-Defined Networking
• Diffie-Hellman Key Exchange
• Penetration Testing Methodology

İlgili kavramlar

• Ağ Güvenliği (Bilgisayar Ağları)
• Sistem ve Ağ Güvenliği
• TLS ve Güvenli Kanallar
• Kimlik Doğrulama ve Erişim Kontrolü
• Anahtar Değişimi ve Kurulumu
• Yazılım ve Uygulama Güvenliği