Güvenlik Açısından Ağ Cihazlarının Karşılaştırılması

out of whack

© ◄ Ayarsız..! ►
Forum Administrator
Güvenlik Açısından Ağ Cihazlarının Karşılaştırılması

osi.JPG



Ağlarda hedeflenen amaca uygun olarak seçilebilecek bir çok ağ cihazı mevcuttur. Hatta seçilen bu ağ cihazlarının amaçlanan hedef doğrultusunda özellikleri de belirlenebilir. Yukarıda ağ cihazlarının OSI (Open System Interconnection - Açık Sistemler Bağlantısı) modeline göre çalıştıkları katmanlar belirtilmektedir. Aynı katmanda benzer amaca yönelik kullanılan farklı ağ cihazları görülmektedir. Bu ağ cihazlarının seçimi, biribirlerine göre artıları ve eksileri anlatılacaktır.

Çoklayıcı (Hub)
Ağ elemanlarını birbirine bağlayan çok portlu bir bağdaştırıcıdır. En basit ağ elemanıdır. Çoklayıcı kendisine gelen bilgiyi sadece gitmesi gerektiği yere değil, portlarına bağlı bütün bilgisayarlara yollar. Bilgisayarlar gelen bilgiyi analiz ederek kendisine gelmişse kabul eder. Bu durum çoklayıcıların en büyük güvenlik açığıdır. Çoklayıcılar 4,8,12,16,24 portlu olarak üretilirler. Çoklayıcılara UTP (Unshield Twisted Pair - Korumasız Bükümlü Çift) kablo ile bağlanılır ve her bir bağlantı 100 metreden daha uzun olamaz. Çoklayıcı çalışırken herhangi bir portundan kablo çıkartılması veya takılması bir sorun oluşturmaz. Ağ kurulduktan sonra ortaya çıkan problemlerden biri ağın genişlemesidir. Göbekler birbirine bağlanarak ağın daha da genişlemesi sağlanabilir. Çoklayıcların birbirine bağlanması için çoğunluğunda bulunan gönderim (uplink) portu kullanılır. Eskiden çoklayıcılara çapraz UTP kablo ile bağlanılırdı. Günümüzdeki çoklayıcılara düz kabloyla da bağlanılabilinmektedir.

Anahtar (Switch)
Akıllı bir çoklayıcı cihazdır. Çoklayıcının yaptığı görevin aynısını yapar, ancak ağı yormaz. Aynı anda birden fazla iletim yapma imkânı sağlar. Böylece aynı anda bir bilgisayar yazıcıyı kullanırken diğer ikisi kendi aralarında dosya transferi yapabilirler. Anahtar, portlarına bağlanan bilgisayarları MAC (Media Access Control - İletim Erişim Kontrolü) adreslerine bakarak tanır. Anahtarlama işlemini gerçekleştirmek için MAC adreslerini yapısında bulunan tabloda tutar. Bu tabloda MAC adresinin hangi porta bağlı olduğu bilgisi bulunur. Kendisine ulaşan veri paketlerinin MAC adreslerini inceler ve her porta dağıtmak yerine, sadece hedef MAC adresine sahip olan bilgisayarın bağlı olduğu porta bırakır. Bu da çoklayıcıda bulunan büyük güvenlik açığını gidermiştir. Böylelikle veri paketi sadece hedef bilgisayara ait portu ve kabloyu meşgul eder. Çakışmalar engellenmiş olur ve ağ performansı artar. Anahtarlar sadece fiziksel montaj yolu ile kontrol edilebildiği gibi, SNMP (Simple Network Management Protocol - Basit Ağ Yönetim Protokolü) parçasına sahip olanlar yazılımlar veya OSI uygulama katmanında yer alan uygulamalar yardımıyla kontrol edilebilirler. 4, 8, 12, 24 ve 36 adet porta sahip anahtarlar piyasada mevcuttur. Üzerinde 10 Mbps, 100 Mbps ve 1 Gbps hızlarda farklı portaları vardır. Anahtar OSI 2. katmanda yani veri iletim katmanında çalışır. Ancak ağ katmanı işlevlerine sahip anahtarlar da vardır.

Çoklayıcı (Hub) - Anahtar (Switch) Kıyaslaması
Çoklayıcı pasif bir cihazdır, yani üzerinde bir program çalışmaz. Sadece gelen elektrik sinyallerini paylaştırır. Mesela 8 portlu 100 Mbps bir çoklayıcımız olduğunu varsayalım. Çoklayıcı kendisine bağlı 8 bilgisayar teoride her porta 12,5 Kbps şeklinde 100 Mbps'ı paylaşırlar. Bir başka deyişle, çoklayıcıdaki maksimum hız 100 Mbps'dır. Anahtarlayıcılarda ise durum tamamen farklıdır. Anahtarlayıcılar daha akıllı cihazlardır ve modellerine bağlı olarak üzerine bağlanan bilgisayardaki ethernet kartının MAC adresini alır ve bunu bilip data akışını buna göre yapar. Ağ katmanı anahtarlar daha da fazla iş yapıp, IP numarasına göre yönlendirme yaparlar. Ayrı bir nokta ise çakışma (collision)'dır. Çoklayıcıda "collision" varsa yani ethernet kartlarından biri arızalıysa bu çoklayıcının çalışmasında kesintiler yaratır ve bazen de çalışmasını engeller. Fakat anahtar problemli portu algılayıp, arızanın diğer portları etkilemesini engeller. Çoklayıcı akıllı cihaz olmadığı için gelen veriyi üzerine bağlı olan bütün portlara gönderir. Çoklayıcı üzerine bağlı olan bütün cihazlara ulaştırılan veri, cihazların kendilerine ait olup olmadıklarını incelemesi sonucu hedef prota ulaşır. Tam olarak bu noktada büyük bir güvenlik açığı oluşmaktadır. Gerekli yazılımlarla cihaz üzerine gelen "bu bana ait bir veri mi?" sorgulaması kötü amaçlı olarak kullanılabilir. Buna göre cihaza gelen hedef veri olsun olmasın bütün veriler dinlenebilir. Anahtar ise Mac adresi bilen akıllı bir cihaz olduğundan veriyi sadece hedef porta gönderir. Bu durum da anahatarı çoklayıcıya karşı güvenlik açısından karşılaştırılamayacak kadar güvenlikli yapıyor.

Tekrarlayıcı (Repeater)
Bilgisayar ağlarında çok fazla sayıda kablo çeşidi kullanılır. Bunların birbirlerine göre avantajları ve dezavantajları vardır. Ağda en çok kullanılan kablolardan UTP kablonun bir dezavantajı kablo boyudur. Bir network içerisindeki maksimum UTP uzunluğu 100 metre olmalıdır. Eğer bu kablonun uzunluğunu artırmak istiyorsak ağa bir cihaz yerleştirmemiz gerekir. Bu cihaz tekrarlayıcıdır. Tekrarlayıcılar telefon, telgraf, mikrodalga ve optik haberleşmesinde ve daha bir çok yerde kullanılmaktadır. Hepsinin de temel amacı aynıdır; sinyali bit seviyesinde yeniden ve daha güçlü olarak üretmek ve yeniden zamanlamaktır. Aksi takdirde sinyal zayıflar veya yok olur. Tekrarlayıcılar OSI modeli fiziksel katman cihazları olarak bilinirler. Bu nedenle güvenlik açısından ancak fiziksel etkileşimle açıkları ortaya çıkar. Çünkü sadece bit seviyesinde işlem yaparlar ve diğer hiçbir bilgiye bakmazlar. Bu durumda ağ iletişimini sağlayan iletim ortamlarının güvenlik açıklarıyla ortak açıklara sahiptir. Bu güvenlik açıkları gelişmiş teknolojideki cihazlarla ağın cihazlarını veya iletim hattları üzerinden ağı dinlemektir.

Köprü (Bridge)
Köprüler iki LAN (Local Area Network - Yerel Alan Ağı) bölümünü birbirine bağlamak için kullanılan cihazlarıdır. OSI modeli 2. katman veri iletim cihazıdır. Çeşitli fiziksel katman protokolleri kullanır. LAN trafiğini filtreler. Yerel trafiği yerel olarak tutar. LAN trafiğinin diğer kısımlarına da iletimi mümkün kılar. MAC adreslerine bağlı collision alanlarını ayırır. Köprüler hangi trafiğin yerel olup da hangi trafiğin yerel olmadığını NIC (Network Interface Card - Ağ Arayüz Kartı) içerisinde yalnızca kendilerine ait olan bir MAC adresine bakarak tespit eder. Köprü bu MAC adresine bakarak hangi cihazın yerel trafiğe bağlı olduğunu anlayabilmektedir. Genellikler köprüler iki portu olan cihazları çağrıştırır. Ama üç veya daha fazla porta sahip köprüler de mevcuttur.

Yönlendirici (Router)
Yönlendirici OSI ağ katmanı cihazıdır. Yönlendiriciler farklı 2. katman cihazları birbirlerine bağlayabilmektedir. Bu özellikleri ile köprülerin görevlerini yapabilirler. Bir yönlendiricinin görevi gelen paketleri incelemektir. Paketlerin ağdan geçmesi için en iyi yolu belirler ve anahtardan porta tam doğru şekilde gitmelerini sağlar. Yönlendiriciler büyük ağlarda trafiği düzenleyen en önemli aygıtlardır. Dünyanın başka bir yerindeki herhangi bir bilgisayarın, bazı tipteki bilgisayarlar ile haberleşmesine imkan sağlar. Bir yönlendiricinin iki temel amacı; yol seçme ve paketlerin en iyi yolunu belirlemektir. Verinin gideceği rotayı belirlemek için gelen paketleri inceler, en iyi yolu tayin eder. Yalnızca ağ adresi bilinen paketler iletilir, böylece trafik azalır. Bu özelliği sayesinde belirli IP adreslerini kontrollü olarak ağa giriş ve çıkış durumunda denetler. Daha önceden belirlenmiş ağ kurallarına göre istenmeyen verileri iletmez. Kurallar kaynak veya hedef IP'ye göre olabileceği gibi veri içeriğine göre de olabilir.
 
Üst