Cisco Routerlarda DHCP Class Yapısı
Herhangi bir kullanıcı bir dhcp sunucusundan ip isteğinde bulunduğu zaman, dhcp sunucusunda tanımlanmış dhcp pool konfigürasyonunda girilen class’lar sırayla eşleşene kadar incelenir. Eğer eşleşen herhangi bir class olursa ip request e eşleşen dhcp pool’da belirtilen aralıktan bir ip adresi verilir.
Bir dhcp pool bir ya da birden fazla class ile tanımlandığında bu şu anlama gelir: eğer bir adres bu pool’da tanımlanan classlar'dan herhangi biriyle eşleşmezse hiçbir şekilde ip isteğine cevap verilmeyecektir. Böylece, class yapısının kullanılması bir anlamda erişim kontrolü (access control) yapılmasını sağlamaktadır ve tanımlanan pool’un subnetine göre daha fazla adres aralığı kullanılabilmesini sağlamaktadır.
Buna ek olarak da, birden fazla dhcp pool aynı class yapısı ile konfigüre edilebilir.
Dhcp Class Yapısıyla IP Dağıtmak için Kullanılacak Komutlar
1-) DHCP’ten ip dağıtmada kullanılan Option 82 bilgisinin öncelikle routerda enable hale getirilmesi gerekmektedir (cisco IOS larda bu dhcp server özelliği defaultta açıktır), eğer bir şekilde disable duruma geldiyse aşağıdaki komutla enable hale getirilebilir.
DMVPN
Dmvpn (Dynamic Multipoint Virtual Private Network) bir site-to-site vpn şekli olup üç Cisco IOS özelliği kullanarak iletişim sağlar. Bunlar NHRP (Next Hope Resolution Protocol ), mGRE (multipoint GRE) ve IpSec’tir. DMVPN’in çalışma mantığına geçmeden önce bu özelliklerden kısaca bahsedelim.
NHRP: Bu özellik sayesinde her bir şube, merkeze tünelle bağlı olan diğer şubelerin fiziksel ve tünel adreslerini öğrenerek bu bilgileri hafızasına alır. Bu işlemler sırasında merkez NHS (Next Hop Server), şubeler ise NHC (Next Hop Client) görevi görürler.
mGRE: Normal GRE tünelinin her bir şube için yeni bir tünel interface oluşturmasını özelliğini ortadan kaldırarak bir tünel interface’ inde birden fazla tünel desteklemesini sağlar. NHRP konfigürasyonuyla aktif hale gelir.
IpSec: Ip paketlerinin güvenli olarak hedefe ulaşmasını sağlayan protokoldür.
Kuantum Kriptografi
Kriptoloji, kriptosistem ya da şifre adı verilen bir algoritma kullanılarak bir mesajın sadece anahtar olarak bilinen ek bilgilerle birleştirilip okunmasının sağlanması bilimidir. Bir kriptosisteme güvenli denebilmesi için anahtar olmadan kriptogramın kilidini çözmek imkansız olmalıdır.
Kriptolojide amaç, bilgiyi sadece gerçek alıcıya ulaşabilecek şekilde iletmektir. Modern şifrelerde anahtar diye çağrılan belirli parametrelerin bir kümesi, düzmetin ile birlikte şifreleme algoritmasına ve şifremetin ile birlikte de şifre çözme algoritmasına giriş olarak uygulanır. Şifreli metnin güvenliği tamamen anahtarın gizliliğine bağlıdır. Şifreleme ve şifre çözme algoritmalarının herkese açıklanmasında herhangi bir mahsur bulunmamaktadır.
Anahtar tamamen rasgele seçilen yeterli uzunluktaki bir bit dizisinden oluşur. Anahtar oluşturulduğunda, sonraki iletişim şifreli mesajları herkese açık, kalabalık bir ortamda yapılan bir anons gibi pasif dinlemeye karşı tamamen savunmasız bir kanal üzerinden göndermeyi içerir. Prensip olarak, herhangi bir klasik anahtar dağıtımı meşru kullanıcılar gizlice dinlendiklerinin farkına varmaksızın her zaman pasif olarak dinlenebilir.
Kuantum kriptografi ya da diğer adıyla kuantum anahtar dağıtımı, güvenlik modelinin anahtar yönü olarak matematiğin aksine daha fazla fiziğe güvenmesi bakımından geleneksel kriptografik sistemlerden farklıdır.
Wireless USB
WUSB (Kablosuz USB Teknolojisi)
WUSB (Wireless USB - Kablosuz USB), bilgisayar ve çevre birimlerinin aralarında kısa mesafede, yüksek bant genişliğinde kablosuz USB bağlantısı kurmak amacıyla geliştirilen teknolojidir. USB’nin kurulum kolaylığı sağlaması ve yığın bellekleme, ses v.b. HID(Human Interface Device - İnsan Arayüz Aygıtı) ürünlerini destekleyen geniş yelpaze ürün desteğinin bulunması; USB’yi günümüzde en çok kullanılan ve en başarılı bilgisayar çevre birimi bağlantı yöntemi haline getirmiştir. Bu bağlantıları kablodan bağımsız olarak gerçekleştirebilmek için WUSB uygulaması geliştirilmektedir.
Kablosuz USB (WUSB)' nin amacı kablolardan bağımsız olarak sunucu ve istemciler arasında USB 2.0 kalitesinde ve hızında veri iletişimi sağlamaktır. Bu amaçla USB 2.0' da kullanılan kabloların yerini radyo dalgalarının alması ilk etapta önemli bir şekilde güvenlik açığı oluşturmaktadır. Bu nedenle kablosuz USB nin kullanılabilmesi için başka mekanizmalar geliştirilmiştir.
G.SHDSL
G.SHDSL Bağlantı Türleri ve Konfigürasyonu
Bağlantı Türleri
İki farklı G.SHDSL bağlantı türü bulunmaktadır;
a- Noktadan Noktaya Bağlantı: Noktadan Noktaya bağlantıda merkezde bulunan metro Ethernet bağlantısı ya da ATM bağlantısı üzerinde ilgili devre için subinterface’de vlan tanımlarının yapılması gerekmektedir. Devreye atanan vlan, Internet Servis Sağlayıcısı tarafından (şu anda sadece Türk Telekom) belirlenir. Merkezde tanımladığınız vlan’a atadığınız IP adresi üzerinden şube ile merkezin noktadan noktaya haberleşmesi gerçekleşmiş olur. Noktadan noktaya devrelerde Türk telekom tarafından belirlenen VPI/VCI değerleri 0/35’dir.
b- İnternet ve VAE Devresi: İnternet servis sağlayıcılar üzerinden gerçekleştirilen bağlantı türünde ISS tarafından size atanacak kullanıcı adı ve şifre ile ISS’in atayacağı dinamik ya da statik IP adresi alınabilmektedir. Türk Telekom tarafından 2007 yılından itibaren gerçekleştirilen VAE (Veri Akış Erişimi) anlaşması ile xDSL devrelerin kullanıcı adlarına gore ilgili ISS tarafında sonlanması sağlanmıştır. Örnek olarak xyz@abc kullanıcı adı için authentication bilgisi abc ISS’sinde, xyz@qwe kullanıcı adı için authentication bilgisi qwe ISS’sinde sonlanmaktadır. Türk telekom tarafından İnternet ve VAE devreleri için belirlene VPI/VCI değerleri 8/35’tir.
Kim Bu Agcilar?
Selam millet,
Bu site nedir, kimdir, niyediri bir iki kelime ile anlatmak istedim. Ben ve arkadaslarim hayatını ağ tasarlamak, kurmak ve sorunları ile uğraşmakla geçiren insanlarız. Sadece bunlarla uğraşmak yetmiyormuş gibi kaşındık 
agcilarin olusturdugu guzel bir blog sitesi oluşturalım dedik.
Şaka bir yana teknolojinin hızına yetişebilmek gerçekten bir savaş. Bizde sürekli bu savaşın içinde araştıran ve yeni şeyler öğrenmekten zevk alan insanlar olarak öğrendiklerimizi başkaları ile paylaşmak istedik ve ortaya "agciyiz.net" çıktı.
Tamamda kim bu agci çocuklar ?
SAN Güvenlik Çözümleri
SAN da güvenliği sağlamak için ilk olarak depolama cihazlarını sunucuya bağlayan fiziksel yapının(SAN Fabric), bağlı olan tüm istemcilerin ve disklerin güvenli olması gerekmektedir. SAN güvenliği sağlanırken göz önünde bulundurulması gereken 6 yapı vardır;
1. SAN management; Administrator tarafından kullanılan yönetim servislerinin güvenliğinin sağlanması
2. Fabric access; sunucu ve depolama üniteleri arasındaki bağlantının güvenliğinin sağlanması.
3. Target access; depolama cihazlarına ve LUN’a erişim güvenliğinin sağlanması
4. SAN Protocols; kullanılan protokollerin güvenliğinin sağlanması
5. IP storage access; FCIP ve iSCSI güvenliğinin sağlanması
6. Data integrity and secrecy; ağda iletilen veriyi clear text yerine şifrelenmiş olarak yollayarak güvenliğin sağlanması
Aşağıdaki şekilde yukarda verilen 6 adım gösterilmektedir.
Storage Area Network
SAN TEMELLERİ
Artan depolama alanı gereksinimleri büyük kuruluşların geleneksel dosya sunucularından daha gelişmiş olan SAN çözümlerine yönelmesine sebep olmuştur. SAN; sunucular ve depolama üniteleri arasında hızlı, güvenilir bağlantı sağlayan özelleştirilmiş bir ağ türüdür. SAN uygulamasında bir depolama ünitesi herhangi tek bir sunucunun özel malı olmak yerine, depolama birimleri ağdaki sunucu ve diğer depolama ünitelerinin ortak malıdır. Kısacası SAN; sunucuları depolama birimlerine, depolama birimlerini birbirlerine ve sunucuları birbirine bağlamaktadır. Şekilde temel bir SAN topolojisi görünmektedir.
Time-based ACL
Time-based ACL’ler yapılandırılmasına göre güvenlik duvarının trafiği günü haftanın yada ayın belli zamanlarında kısıtlamasını sağlar. Ayrıca network ten kimi zaman özel bir trafik geçirmek gerekebilir, bu trafik belli bir süre akıcağı için bunun güvenliğinin sağlanamsı için gerekli olan güvenlik duvarı da bu süre zarfında etkii etmesi gerekmektedir.
Time-Based ACL Konfigurasyonu:
Time-based ACL tanımlamak için öncelikle, time-range komutuyla bir zaman dilimini belirlemek gerekmektedir.
Router(config)# time-range time_range_name
Reflexive ve Dinamik Erişim Listeleri
Yeni nesil IOS bazlı firewall çeşidi ise “Reflexive ACL” dir. Bu methodla, trafiğin kaynak ve hedef adresleri, port numaraları ve oturumların rotaları hedef alınmıştır. Reflexive ACL’ler, her oturum için ayrı geçici bir filtre kullanmaktadır. Oturum her sonlandığında kullanılan filtreler silinmektedir.Reflexive ACL’leri geçmek ciddi bir iştir. Çünkü daha önce eşleşen trafikten akan veriler, herhangi başka bir köprülemeyle farkı rotaları izlemezler. Ayrıca reflexive ACL lerde oturum sona erdikten sonra oluşturulan ACE(Acess control entries)’lerin silinmesi hacker arın attack şansını da zamanla orantılı olarak düşürmektedir.
Reflexive ACL konfigurasyonu:
Adım 1: Internal ACL oluşturulur.
Router(config)# ip access-list extended internal_ACL_name
Router(config-ext-nacl)# permit protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] reflect reflexive_ACL_name [timeout seconds]
Adım 2: Geridönüş trafiği için reflexive ACL nin kullanacağı external ACL oluşturulur.
R1(config)# ip access-list extended internal_ACL
R1(config-ext-nacl)# permit tcp any any eq 80 reflect web-only-reflexive-ACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect dns-only-reflexive-ACL timeout 10
