İçeriğe atla

Tünel protokolü

Tünel protokolü, bir ağ protokolü farklı bir yük-taşıma protokolü içerdiğinde bilgisayar ağ bağlantısı, bir tünel protokolü kullanır. Tünel protokolü kullanılarak, uyumsuz olan bir iletim protokolü üzerinde bir yük-taşıma taşınabilir ya da güvenilmeyen ağlarda güvenli bir yol oluşumu sağlanabilir.

Tünel protokolü tipik olarak, OSI ya da TCP/IP gibi katmanlı protokol modelleriyle zıtlık gösterir. İletim protokolü genelde kalıp içerisinde, yük-taşıma protokolünden daha yüksek seviyede ya da aynı seviyede çalışır. Belirli protokol yığınını anlamak için, ağ mühendisleri öncelikle payload ve iletim(delivery protocol) protokol gruplarını her ikisini de anlamak zorundadır.

Örnek olarak ağ katman üzerinde ağ katmanına örnek olarak, IP'nin üzerinde çalışan bir protokol olan Generic Routing Encapsulation(GRE); genel IP adresler ile teslimat paketlerini kullanan internet üzerinden, RFC 1918 özel adresi ile IP paketlerini taşıma servisi yapar. Bu durumda, teslimat ve yük-taşıma protokolleri uyumlu ancak yük-taşıma adresleri, bu teslimat ağ erişimininkileriyle uyumsuzdur.

Bunun tersine, bir IP payload, payload mekanizmasına data link layer'ın bir protokolü olarak görünen Layer 2 Tunneling Protocol (L2TP)'nün içerisinde taşındığında bir veri hattı katmanı teslimatı (data link layer delivery) görüyor sanabilir. Ancak, aslında IP üzerinde User Datagram Protocol(UDP) kullanarak taşıma katmanı üzerinde çalışır.

Tünel protokolleri genel ağ erişiminde emniyeti olmayan yük-taşıma (payload) protokollerini taşımak için veri şifrelemesi kullanabilir. Dolayısıyla VPN fonksiyonelliği sağlanır. IPsec'te end-to-end taşıma modu vardır. Ancak bunun yanında güvenilir güvenlik kapısı boyunca tünel modu içerisinde çalışabilir.

Güvenlik kabuğu tüneli

Bir güvenlik kabuğu(SSH) tüneli, SSH protocol bağlantısı boyunca oluşturulmuş bir şifrelenmiş tünel içerir. Kullanıcılar SSH tünelleri, şifrelenmiş kanal boyunca ağ erişimi üzerinde şifrelenmemiş trafik transferini sağlamak için kurabilir. Örneğin;Microsoft Windows makineleri, şifrelenmemiş bir protokol olan Server Message Block(SMB) protokolü üzerinden dosyalar paylaşabilir. Eğer biri internet üzerinden Microsoft Windows dosya-sitemine uzaktan kontrol ile erişebilseydi, bağlantıda gezen herhangi biri transfer edilen dosyaları görebilirdi.

Windows dosya sistemine güvenli şekilde erişim için, tüm SMB trafiğini şifrelenmiş kanal içerisinden uzaktan-kontrol-dosya sunucusuna yönlendirmek için biri SSH tüneli kurabilir. Yine de SMB protokolü hiçbir şifreleme içermez.

Reverse ssh tunnel

SSH tüneli kurmak için, biri belirli bir yerel porttan uzaktan kontrol makinesinin bir portuna doğru ileriye bir SSH client yapılandırması yapar. SSH tünel kurulduğunda, kullanıcı ağ servisine giriş yapmak için belirli bir yerel porta bağlanabilir. Yerel port uzaktan erişim portu gibi aynı port numarasına ihtiyaç duymaz.

Site dışarıya dönük bağlantılara izin verdiği sürece, SSH tünelleri, belirli internet servislerini yasaklayan güvenlik duvarlarını(firewall) atlatmak için kolaylık sağlar. Örneğin;bir organizasyon bir kullanıcının internet sayfasına(port 80) girişini, organizasyonun proxy filtresi içerisinden geçmeden yasaklamak isteyebilir. Ancak kullanıcılar, organizasyonun proxy filtresi tarafından kendi internet trafiğinin görüntülenmesini veya engellenmesini istemeyebilirler.

Eğer kullanıcılar harici bir sunucuya bağlanabilirlerse, kendi yerel makineleri ile verilen porta doğru uzaktaki web sunucusunda olan port 80'e geçiş yapabilmeleri için SSH tüneli oluşturabilirler. Uzaktan web sunucusuna erişim için, kullanıcılar kendi tarayıcılarını http://localhost/'da yerel porta belirtmelidirler.

SSH client'ların bazıları, kullanıcıların SOCKS 4/5 proxy oluşturmasına izin veren dinamik port iletimini (dynamic port forwarding) desteklemektedirler. Bu durumda kullanıcılar kendi yerel SOCKS proxy sunucularını kullanarak kendi uygulamalarını yapılandırabilirler. Bu durum tek bir porta, belirtilen SSH tüneli oluşturma durumundan daha çok esneklik sağlar. SOCKS, kullanıcının önceden tanımlanmış porta ve sunucuya bağlı bağlantı kısıtlamalarından kurtulmasını sağlar. Eğer bir uygulama SOCKS desteklemiyorsa, yerel SOCKS proxy sunucusuna uygulamanın direkt erişimi için "socksifier" kullanılabilir. Bazı socksifier'ler SSH client ihtiyacını engellemek için SSH'ı direkt olarak destekler.

Güvenlik duvarı önlemine karşı tünelleme

Kullanıcılar tünellemeyi ayrıca güvenlik duvarına sızmak için de kullanabilir. Normalde güvenlik duvarının engel koyacağı protokole, protokol içerisinde "wrapped (paketlenmiş)" kullanımı, güvenlik duvarının engellemesinden kurtarır. HTTP gibi. Eğer güvenlik duvarı poliçesi özellikle "wrapping" tarzı şeyleri harici tutmazsa, bu hile, amaçlanan güvenlik duvarı ilkesinin yasal boşluğundan faydalanmak için fonksiyonel işlem gösterir.

Bir başka HTTP temelli tünelleme metodu, HTTP connect method/command kullanır. Client, HTTP proxy'ye HTTP connect emri yayınlar. Daha sonra proxy belirli sunucu veya porta TCP bağlantısı kurar ve client bağlantısı ile sunucu, port arasındaki veriyi gecikmeye uğratır.[1] Çünkü bu bir güvenlik çukuru oluşturur. CONNECT-capable HTTP proxy'leri CONNECT metoduna erişim için kısıtlama meydana getirir. Proxy sadece özel yetkilendirilmiş sunucuların beyaz listesine erişim izni verir.[2]

Ayrıca bakınız

Kaynakça

  1. ^ "Upgrading to TLS Within HTTP/1.1". RFC 2817. 2000. 11 Aralık 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Mart 2013. 
  2. ^ "Vulnerability Note VU#150227: HTTP proxy default configurations allow arbitrary TCP connections". US-CERT. 17 Mayıs 2002. 18 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Mayıs 2007. 

Dış bağlantılar

İlgili Araştırma Makaleleri

Basit Ağ Yönetim Protokolü, bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır. Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar.

<span class="mw-page-title-main">Dosya aktarım iletişim kuralı</span> Bilgisayarcılık terimi

Dosya aktarım iletişim kuralı,, bir veri yığınının - ASCII, EBCDIC ve binary- bir uç aygıttan diğerine iletimi için kullanılmaktadır.

Telnet, Internet ağı üzerindeki çok kullanıcılı bir makineye uzaktaki başka bir makineden bağlanmak için geliştirilen bir TCP/IP protokolü ve bu işi yapan programlara verilen genel isimdir. Telnet iki bileşenden oluşur: (1) iki tarafın nasıl iletişim kuracağını belirleyen protokolün kendisi ve (2) hizmeti sağlayan yazılım uygulaması.Kullanıcı verileri, İletim Kontrol Protokolü (TCP) üzerinden 8 bitlik bayt yönlendirmeli bir veri bağlantısında Telnet kontrol bilgisi ile bant içi serpiştirilir. Telnet, 1969'da RFC 15 ile başlayarak geliştirildi, RFC 855'te genişletildi ve ilk İnternet standartlarından biri olan İnternet Mühendisliği Görev Gücü (IETF) İnternet Standardı STD 8 olarak standartlaştırıldı. encryption sağlayan bazı Telnet eklentileri geliştirilmiştir. Bağlanılan makineye girebilmek (login) için orada bir kullanıcı isminizin (İng:username) ve bağlantının gerçekleşebilmesi için bir telnet erişim programınızın olması gereklidir. Fakat bazı kütüphane ve herkese açık telnet bazlı web servisleri, bağlantı sırasında kullanıcı ismi (numarası) istemeyebilirler; ya da, kullanıcı isim ve parola olarak ne yazmanız gerektiği bağlandığınızda otomatik olarak karşınıza çıkar. Telnet, BBS sistemlere İnternet üzerinden erişimde günümüzde yaygın olarak kullanılmaktadır. Telnet erişim programları, günümüzdeki işletim sistemlerinin çoğunda işletim sistemi ile birlikte gelmektedir. Çok kullanıcılı işletim sistemleri genellikle kullanıcılara metin tabanlı bir arayüz sunar ve bu sistemlerde tüm işlemler klavye vasıtası ile komut isteminden gerçekleştirilir.

<span class="mw-page-title-main">İnternet iletişim kuralları dizisi</span>

İnternet protokol takımı, bilgisayarlar ve ağ cihazları arasında iletişimi sağlamak amacıyla standart olarak kabul edilmiş kurallar dizisidir. Bu kurallar dizisi temel olarak verinin ağ üzerinden ne şekilde paketleneceğini ve iletilen veride hata olup olmadığının nasıl denetleneceğini belirlemektedir.

<span class="mw-page-title-main">Sanal özel ağ</span> Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi

Sanal Özel Ağ, uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan bir internet teknolojisidir. VPN, sanal bir ağ uzantısı oluşturarak, ağa bağlanan cihazların fiziksel olarak bağlıymış gibi veri alışverişinde bulunmasına olanak tanır. Basitçe, İnternet veya diğer açık ağlar üzerinden özel bir ağa bağlanmayı mümkün kılan bir bağlantı türüdür.

<span class="mw-page-title-main">SIP</span>

Oturum başlatma Protokolü (SIP), ses, video ve mesajlaşma uygulamalarını içeren gerçek zamanlı oturumları başlatmak, sürdürmek ve sonlandırmak için kullanılan bir sinyal protokolüdür. VoIP gibi IP üzerinden üzerinden ses, görüntü ve anlık mesaj iletişimi yanı sıra LTE (VoLTE) üzerinden cep telefonu araması için multimedya iletişim oturumlarını sinyalize etmek ve kontrol etmek için kullanılır. Günümüz IP Telefonlarının çoğunluğu SIP Protokolü ile çalışmaktadır. Cisco gibi bazı üreticiler SIP kullanmakla beraber bazı telefon modellerinde SCCP tercih etmektedir.

Berkeley r-komutları, bir Unix sisteminin kullanıcılarının TCP/IP bilgisayar ağı üzerinden başka bir Unix bilgisayarında oturum açmasını veya komutlar vermesini sağlamak için tasarlanmış bir bilgisayar programları paketidir. Berkeley r-komutları, 1982'de Berkeley'deki Kaliforniya Üniversitesi'ndeki Computer Systems Research Group (CSRG) tarafından, TCP/IP'nin erken uygulanmasına dayanarak geliştirildi.

İngilizce: Lightweight Directory Access Protocol veya kısaca LDAP TCP/IP üzerinde çalışan indeks servislerini sorgulama ve değiştirme amacıyla kullanılan uygulama katmanı protokolü.

Bilgisayar dünyasında port knocking terimi önceden belirlenmiş portlara yapılan bağlantı isteklerine göre istenilen portların açılması tekniğidir. Önceden belirlenmiş portlara yine önceden belirlenmiş zaman aralığında bağlantı isteği gönderilmesi ile birlikte ateş duvarı kuralları dinamik olarak değiştirilerek gerçekte istenilen servisin portları açılır. Bu uygulama güvenlik nedeni ile dışarıdan hizmet verildiğinin gizlenmek istendiği durumlarda oldukça kullanışlıdır.

<span class="mw-page-title-main">OSI modeli</span>

Open Systems Interconnection (OSI) modeli ISO tarafından geliştirilmiştir. Bu modelle, ağ farkındalığına sahip cihazlarda çalışan uygulamaların birbirleriyle nasıl iletişim kuracakları tanımlanır.

İnternet Protokolü Güvenliği (IPsec), Internet Protokolü (IP) kullanılarak sağlanan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan bir protokol paketidir. IPsec, içinde bulundurduğu protokoller sayesinde, oturum başlarken karşılıklı doğrulama ve oturum sırasında anahtar değişimlerini gerçekleştirme yetkisine sahiptir. İki bilgisayar arasında (host-to-host), iki güvenlik kapısı arasında(network-to-network), bir güvenlik kapısı ve bir bilgisayar arasında(network-to-host) sağlanan bağlantıdaki veri akışını korumak için kullanılır. IPsec kriptografik güvenlik servislerini kullanarak IP protokolü ile gerçekleştirilen bağlantıları korumak için kullanılır. Ağ seviyesinde doğrulama veri kaynağı doğrulama,veri bütünlüğü, şifreleme ve replay saldırılarına karşı koruma görevlerini üstlenir.

UDP saldırısı , UDP protokolünü kullanarak yapılan bir DoS saldırısıdır.

TCP/IP, yapı olarak iki katmanlı bir haberleşme protokolüdür. Üst Katman TCP verinin iletimden önce paketlere ayrılmasını ve karşı tarafta bu paketlerin yeniden düzgün bir şekilde birleştirilmesini sağlar. Alt Katman IP ise, iletilen paketlerin istenilen ağ adresine yönlendirilmesini kontrol eder.

HTTP tünelleme, kapsüllenmiş http protokolünü kullanan çeşitli ağ protokollerini çalıştırarak bağlantı gerçekleştiren bir tekniktir. Ağ protokolleri genelde TCP/IP ailesine ait olan protokollerdir. HTTP protokolü dolayısıyla, ağ protokolü tünnellenmiş olan kanal için kılıf (wrapper) olarak davranır.

<span class="mw-page-title-main">SoftEther VPN</span> Baymuhammet

SoftEther VPN, Tsukuba Üniversitesi'nden Daiyuu Nobori'nin yüksek lisans tezi araştırması kapsamında geliştirilen ücretsiz bir açık kaynak kodlu, çapraz platform, çoklu protokol destekli VPN çözümüdür. SoftEther VPN, SSL VPN, L2TP/IPsec, OpenVPN ve Microsoft Güvenli Yuva Tünel Protokolü gibi VPN iletişim kurallarını tek bir VPN sunucusundan verilecek şekilde desteklemektedir. 4 Ocak 2014 tarihinde GPLv2 lisansını kullanarak yayınlanmıştır.

<span class="mw-page-title-main">WebSocket</span> bilgisayar iletişim protokolü

WebSocket, tek bir TCP bağlantısı üzerinden tam çift yönlü iletişim kanalı sağlayan bir bilgisayar iletişim protokolüdür. WebSocket protokolü IETF tarafından 2011 yılında RFC 6455 ile standart hale getirilmiş ve WebIDL içerisindeki WebSocket API W3C tarafından standart hale getirilmektedir.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

<span class="mw-page-title-main">Port tarayıcı</span>

Port tarayıcı, açık portlar için bir sunucuyu veya ana bilgisayarı araştırmak için tasarlanmış bir uygulamadır. Bu tür bir uygulama, yöneticiler tarafından bilgisayar ağlarının güvenlik politikalarını doğrulamak ve saldırganlar tarafından bir ana bilgisayar üzerinde çalışan ağ hizmetlerini tanımlamak ve güvenlik açıklarından yararlanmak için kullanılabilir.

Bir ICMP tüneli, ICMP yankı istekleri ve yanıt paketlerini kullanarak iki uzak bilgisayar arasında gizli bir bağlantı kurar. Bu tekniğin bir örneği ping istekleri ve yanıtları üzerinden tüm TCP trafiğini tünellemektir.

Bilgisayar ağlarında bağlantı noktası (port) veya bağlantı noktası numarası, bir bağlantı uç noktasını benzersiz bir şekilde tanımlamak ve verileri belirli bir hizmete yönlendirmek için atanan sanal bir numaradır. Yazılım düzeyinde, bir işletim sistemi içinde, bir bağlantı noktası belirli bir işlem veya bir ağ hizmeti türünü tanımlayan mantıksal bir yapıdır. Yazılım düzeyindeki bir bağlantı noktası, her taşıma katmanı protokolü ve adres kombinasyonu için kendisine atanan bağlantı noktası numarasıyla tanımlanır. Port numaralarını kullanan en yaygın taşıma protokolleri TCP ve UDP 'dir; bu port numaraları 16 bitlik işaretsiz sayılardır.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.