1 Mayıs 2009 Cuma

Active Directory

Active Directory Nedir ?
  • Network üzerindeki nesneleri tutar.
  • Network üzerindeki nesneleri yönetmek için directory servisleri tasarlanmıştır

Merkezi Yönetim
  • Tek bir noktadan yönetim.
  • Kullanıcıların tekbir noktadan dizin kaynaklarına erişebilmesi

Dizin hizmetleri işlevleri
  • Organizasyon
  • Yönetim
  • Kontol

Acitive Directory Ne sağlar ?

  • Network’ün domain olarak adlandırılan birimler halinde düzenlenmesini sağlar.
  • Kullanıcıve grupların listesini merkezi olarak tutar.
  • Kullanıcıve grupların ancak gerekli izinlere sahip olmasıdurumunda kaynaklara erişmesini sağlar.
  • Domain içindeki nesnelere birçok özelliklerinden erişimi sağlar.
  • Domainin OU adıverilen alt parçalara bölünmesini sağlar. Bu yönetimin delege edilmesini sağlar.

Acitve Directory Özellikleri

  • Merkezi Veri Depolama
  • Ölçeklenebilirlik
  • Genişletilebilirlik
  • Yönetilebilirlik
  • Domain Name System (DNS) ile entegrasyon
  • Client yapılandırma yönetimi
  • Politika-tabanlıyönetim
  • Bilginin kopyalanması(replication)
  • Esnek ve güvenli kimlik doğrulama ve yetkilendirme
  • Güvenlik entegrasyonu
  • Diğer dizin servisleriyle birlikte çalışabilme
  • İmzalanmışve şifrelenmiş LDAP trafiği

Desteklediği Teknolojiler
DHCP (Dynamic Host Configuration Protocol)
DNS ( Domain Name System)
LDAP (Lightweigth Directory Access Protocol)

Gönderen zaman: Hiç yorum yok:
Etiketler:

Web Services

  • Http üzerinden servis sağlar.
  • Bilgi xml formatındadır.
  • Veri yığınları etiketler arasında tanımlanır
  • Web2.0 ve web3.0 ın önemli kavramlarındandır
  • Düz metin dosyaları olduğu için güvenlikle ilgili problemler olabilir
Güvenliğin iki boyutu vardır.

Simetrik şifreleme: Aktarılan veri yığınını anahtara bağlı olarak şifreliyor.
Temel olarak belli bir algoritmaya değer girilerek sağlanır. Anahtarın karşı tarafça bilinmesi gerektiğinden güvenlik açığı vardır.

  • Blow Fish: Eski bir algoritmadır. Şifreleme için temel bir algoritmadır.Des: IBM tarafından veri şifreleme için geliştirilmiş olup pek tercih edilmez.
  • 3Des: des’in geliştirilmişidir. 3 ayrı anahtar kullanır. Günümüzde yaygın olarak kullanılan simetrik şifreleme standardıdır. Bankaların haberleşmesinde kullanılır.
  • Idea: telif ücreti gerektiren bir şifreleme standardıdır. Pek yaygın değildir.
  • RC4 ve RC5: Günümüzde kullanılan bir şifreleme standardıdır. Telif ücreti gerektirir.
  • Twofish: Gelişmiş bir algoritmadır. Simetrik şifrelemenin yeni neslini tanımlamaktadır.
  • AES: Yaygın olarak kullanılan şifrelemedir. Zip şifrelemede kullanılır.

Asimetrik şifreleme: günümüzde kullanılan bir şifrelemedir. Karşı tarafa anahtar taşıma problemini çözer. Ama işlemler zaman gerektirir. Anahtarı karşı tarafa asimetrik şifreli halde gönderiyoruz geri kalan bağlantıyı simetrik şifreleme ile yapıyoruz.

PKI: Açık anahtar yapılanmasıdır. İstemcinin ve sunucunun güvenliği bir odağa bağlıdır. Güvenilen 3. bir kişi vardır. bu her iki tarafında onayladığı bir sertifika otoritesidir. Bu otorite özel ve genel anahtar üretiminde onay makamıdır. Kendi özel anahtarı ile gönderilen genel anahtarı alıp kendi standardında yeni bir genel anahtar elde edip gönderiyor. Her sertifikanın seri numarası ve algoritması bulunmaktadır.

Nesnelerin Ağ Üzerinden Aktarılması2 protokolü vardır.

a) RTSP(gerçek zamanlı akış protokolü) komut yapısı
  • Describe: Listelere ulaşmak için kullanılan medya parametrelerini listeler.
  • Setup: Oynatıcı ve kullanıcı arasında mantıksal bir kanaldır.
  • Play: Sunucudan istemciye veri akışını başlatır.
  • Record: İstemciden sunucuya veri aktarımını başlatır.
  • Pause: Veri aktarımını durdurur.
  • Teardown: Veri aktarımı keser.

b) Volp:
İnternet protokolü üzerinden ses aktarımı yapar. 3. Katmanla ip üzerine yapılandırılmıştır.

H323 protokolü:
  • Telefon sinyallemesi yapar.
  • Günümüzde pots sistemi yerine geçmiş telefon teknolojisidir.
  • Mesaj formatı 2 li komutlarla yapılır.
  • Adresleme yapısında direk telefon numarası kullanır.
  • Arama sonlandırması komutla veya tcp bağlantısının kesilmesi ile gerçekleşir.
  • Metin gönderimine izin vermez.
  • Büyük ve kompleks bir yapıdır.
  • SIPModuler bir yapıdır.
  • Rfc ile tanımlı.
  • İletişimin nasıl kurulacağını tanımlar.
  • Telefonlarla genelde uyumludur.
  • Mesaj formatı düz metin veya ascii dir
  • Adresleme yapısında URL tanımlanmıştır.
  • Arama sonlandırması zaman aşımı veya komutla gerçekleşir.
  • Metin gönderimine izin verir.
  • Yeni gelişen küçük bir yapıdır.
Gönderen zaman: Hiç yorum yok:
Etiketler:

Kerberos

Kerberos: Bir bilgisayar ağı kimlik doğrulama protokolüne verilen isimdir.
Amacı: Güvensiz bir ağ içinde kullanıcıların bilgilerini güvenli bir şekilde ispat etmelerini sağlamaktır

Çalışma şekli: Mesajın gizli bir şekilde dinlenmesi ve bazı saldırıları engelleyerek veri bütünlüğü sağlamasına dayanır

Şifreleme yöntemi: Simetrik anahtarlamadır.

Geliştirilme amacı: Athena isimli projenin sunduğu ağ servislerini korumaktır.

Yararları
  • Parolaların ağda düz metin olarak iletilmesini önler.
  • Kullanıcı adı ve parola bilgilerinizi merkezileştirerek korunmasını ve yönetilmesini de kolaylaştırır.
Gönderen zaman: Hiç yorum yok:
Etiketler:

30 Nisan 2009 Perşembe

Firewall

VOiP Güvenlik
Güvenliğin altağlar açıısından sağlanması gerekir. Buradaki bilgiler tanımlanır. Belirli kurallar konur. Ağ içinde gezecek bilgiler bir anlamda şifrelenmiş olur.

Firewall

  • Ağın çıkış noktasında bulunur.
  • Gelen ve giden veriyi inceler. Duruma göre işlemler yapar.
  • Güvenliğin sağlanmasında etkin rol oynar.
İlk Nesil Firewall
SMTP de yaşanan güvenlik sorunları için geliştirilmiştir.
Ağımızı dış dünyadan istenmeyen servislerden soyutlarız.
4. Katmanda bilgiyi inceleyebilir ve kurallar tanımlayabiliriz.

İkinci Nesil Firewall
1. Nesil kullanımının üzerine ek olarak ip adreslerininde blocklanması, engellenmesi gibi işlemler devreye girmiştir.

Üçüncü Nesil Firewall
Yapılan isteğe göre içeriğin şifrelenmesi yapılmıştır. Aynı anda birden çok istek gelirse, içeriği engeller.

Firewall yapılandırması için, çeşitli 3. parti yazılımlar kullanılabilir. Biz Kerio Winroute Firewall 6.6 yı kullanarak firewall ayarlaması yaptık.
Firewall kurulumu için 2 tane ethernet kartı tanımlanması gerekir bunu ayarladıktan sonra, Wİnroute programını kurarak burada çeşitli yapılar tanımlayabiliriz.,

Firewall hem iç ağda hem dış ağda kullanabileceğimiz bir güvenlik mekanizmasıdır. Firewall da kullanıcı ve gruplar tanımlanabilir.

Firewall üzerinden yapabileceklerimiz;
  • Ağdaki bandwidth yönetimini ayarlayabiliriz
  • İçeriğin filtrelenmesini sağlayabiliriz.
  • Ağda gezen dosyaları virüs taramasından geçirebiliriz.
  • Çeşitli servislerin çalışma şekillerini yapılandırabiliriz.
  • Belirli bir url ye erişimi kapayabiliriz
  • Sadece belirli ip aralığındakilerle iletişim kurmasını sağlayabiliriz.
  • Yasaklı kelimeler tanımlayıp bunları puanlandırabiliriz.

NFS: sun firması geliştirmiştir.Bu iki protokol temel protokollerdir.

SMB: IBM tarafından geliştirilen bir protokol kümesi üzerinde çalışır. Bu protokol kümesine NETBEUI denir.

NETBEUI: bilgisayarlara adresleme yapmak için 8 bitlik yapı tanımlar ve alt ağ tanımlamaz. Bu protokolde yönlendirme yoktur.

SMB : IBM tarafından geliştirilen NetBEUI protokolü üzerinde çalışır. Bu protokol alt ağ tanımlamaz bu yüzden yönlendirme söz konusu değildir. Eski bir protokoldür ama dos dan buyana kaynakların paylaştırılması için kullanılan temel protokol olmuştur. Türkçe karakter barındırmaz. Bu protokolde sadece bilgisayar ismi yeterlidir.

CIFSCIFS: Tek bir protokol üzerinden yapılandırma değildir. Bant genişliği artışı sağlandı. IBM tarafından paketlenmiş bir protokol kümesidir.

SMB için karakutu uygulamaları vardır.
Karakutuda 2 grup oluşuturulur. Bir grup sistemin algoritmasını çıkartırken, bunlardan hiç haberi olmayan diğer grup ise bunları koda döker.

DC: DC sertifika üretir ve istemci sunucudan kaynak isterken bu sertifikayı kullanır. Diğer bilgisayarların kaynaklarını kullanabilmek için jeton gibi düşünebiliriz.

WINS: Microsoft çıkarmıştır. Liste sorununun çözümü için geliştirilmiştir. WINS, kendisine bildirilen isimleri tutar, belli aralılarla bu listeyi kontrol eder ve isteyenlere listeyi gönderir. Sadece iste tutan servistir. Ağdaki kullanıcıların listesi istenirken WINS’e başvurulur.
Gönderen zaman: Hiç yorum yok:
Etiketler:

23 Nisan 2009 Perşembe

HTTP Protokolü Devam

  • Varsayılan dip not: Gönderilen bilgilere tanımlananan html dosyasının eklenmesidir.
  • Dizin güveniği: Klasör ile ilgili yetkilerin tanımlandığı bölümdür.
  • Anonim: Bir tür erişim çeşidirir. Kullanıcı adı ve şifresi girilmez. USS_WIN2003 bu kullanıcı adı IIS kurulurken oluşturulur. Kullanıcı adı ve şifre ile de hizmet verilebilir. Ayrıca belirli bir ip aralığından bağlantılar cevap verilebilir.Bunlar gibi ayarlar yapılabilir.
  • Daniel of service: Servisten alı koymaktır.
  • İçerik derecelendirme: Http üst bilgisi ile kullanıcılara bazı kategorilerde ne tür içerik olduğu gönderilebilir. Web tarayıcıardaki bu bilgi yığınına bakıp içeriki ksıtlaması yapılabilir.
  • Mime türleri: web sitesi ilk oluşturulduğunda tüm uzantıları desteklemez. Bazı uzantıların desteklenmesi için bunların tanımlanması gerekmektedir. Bunları Mime aracılığı ile yaparız. Hangi uzantıya hangi veri yığını göndereceğimizi tanımlanır.
  • BITS: Bir tür aktarımım biçimidir . Microsoft kullanır. BITS ile büyük boyutlu dosyalar daha kolay gönderilir.
  • ASP.net: Asp sürümlerini tanımlayabiliriz. 1 ve 2 sürümlerinden hangisini kullanacağımızı belirleyebiliriz. Yapılan projenin asp ise dll dosyasının doğru şekilde yorumlanabilmesi için sürümünün seçildiği bölümdür.
  • ISAPI: exe dosyası gibidir, DLL uzantılıdır. Bir dosyayı çalıştırılabilir olarak tanımladığımız zaman, DLL uzantılı bir dosyaya istek yapıldığı zaman o dosyanın içeri kullanıcıya gönderilmez. Dosya çalıştırılır, bir değer çıkar ve bu değer kullanıcıya gönderilir. DLL çalıştırılır ve kullanıcıya çıktısı gönderilir.
  • CGI: Bir dosyanın içeriğini değil, o dosyayı çalıştırıp çıktısını kullanıcıya göndeririz.
    Bir exe dosyasının 1000 kez çalıştırılması gerekebilir. CGI performans problemlerine yol açmıştır.
  • 2 tip ISAPI uygulaması vardır:
  • 1. ISAPI uzantıları: Belli bir uzantıda çalışır. GCI programlama güçlüğünü aşmak istediği yerlerde kullanır.
  • 2. ISAPI filtreleri: bir web sayfasının içeriğinin kullanılmasıdır. Gelen her içerik uygulamadan geçirilip kullanıcıya gönderilir. Tüm içerik kontrol edilir.
    WWW için CGI için arabirimlik yapar. Tamamen exe dosyalar yazmadan temel kod yığınlarıyla web sayfaları oluşturulabilir hale gelmiştir.
  • APACHE
    APACHE de bir ISAPI’dir. Konsol tabanlıdır. Unix tabanlıdır.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , ,

IIS üzerinde yeni web sitesi

IIS ÜZERİNDE YENİ WEB SİTESİ


IIS başlatılır ve web siteleri kısmından yeni ve yeni web sitesi kısmı seçilir.



ileri işaretlenir.



IIS üzerinde gözükecek isim yazılır.



oluşuturacağımız web sitesine ait detaylar bu ekranda yazılır. Hangi port üzerinden yayın yapacağı, Host header value değeri, Ip adresi gibi bilgiler girilir.



Web sitesine ait fiziksel yol gösterilerek yayını yapılacak web sitesinin okuyacağı klasörler gösterilir.



Bu klasördeki dosyalara ait yazma,okuma, çalıştırma gibi hakların tanımlanması bu ekran yapılır.



Son butonuna basarak tamamlarız.



php dosyalarını çalışıtırabilmesi için, isapi tanımlamamız gerekmektedir. İsapiyi tanımladığımız yer, web sitesine sağ tıklanır ve özellikler denir.



Burada ekleyeceğimi isapi listede varsa seçilir yoksa ilgili dll dosyası Browse seçeneği ile gösterilir ve sadece bu bilgisayara özel olarak gelen isteklerde bu dll' in çalıştırmasını sağlar.



isapiye isim vererek kaydederiz.



genel web siteleri ekaranında oluşturmuş olduğumuz web sitelerine ait bilgileri görebiliriz.
Gönderen zaman: Hiç yorum yok:
Etiketler: , ,

20 Nisan 2009 Pazartesi

Web Sunucularında Güvenlik Tehditleri

Bir web sunucusunda güvenlik açıklarına sebep olabilecek bazı sebepler şunlardır:

Sql Injection
Hatalı sql kullanım sonucunda parametre gönderimi ile, sql den sunucuya ait verileri çekme ve veritabanına ait bilgilere erişebilme.

DDOS
Sunucuya aynı anda yapılan isteklerin karşılanamaması sunucunun kullanım dışı kalmasıdır.

Hatalı güvenlik yapılandırmaları
Yetki denetimi yapılmayan sunucularda, herhangibir ftp, mail vs gibi servisleri kullanan kullanıcıların sisteme verecekleri zararlar.

Hatalı programatik kodlar
web sunucusu üzerinde çalışan hatalı yazılmış programlardır. Herhangi bir yanlış kullanım sonucunda, ör: kısır döngü sonunda sunucu kaynaklarının tüketilmesi durumudur.

Sunucu Konfigürasyonları
sunucu üzerine yüklenen dosyaların, virüs vs. gibi zararlı içerik taşıyıp taşımaması kontrol edilmelidir. Aksi taktirde, sunucuya yüklenecek zararlı bir yazılım, güvenlik tehditleri ortaya çıkaracaktır.
Gönderen zaman: Hiç yorum yok:
Etiketler:
Kaydol: Kayıtlar (Atom)