İnternette yaptığımız her şeyin altında TCP/IP protokolü yatıyor. Bu makalemizde internetin nasıl çalıştığına dair öğreneceklerinizle bilgisayarınızın güvenliğini de arttırabilirsiniz. Sonuçta hiçbir güvenlik aracı sizi bilgi ve bilinç kadar koruyamaz.
TCP/IP'nin geliştirildiği zamanlarda internette veriyi sağ salim yerine ulaştırmak öncelikliydi. Bu yüzden bu protokol güvenlik düşünülerek tasarlanmadı. Elbette tek sorun protokolde değil, verilerin ulaştığı yazılımlarda da güvenlik açıkları var. İşte bu yüzden online olurken çeşitli güvenlik önlemleri almak gerekiyor.
Internet 1960'larda Amerikan Gelişmiş Savunma Araştırmaları Ajansı'nın ARPANET projesi olarak başladı. Bu konuda daha fazla bilgi ve internet tarihinde keyifli bir yolculuk için İnternetin büyülü tarihi makalemizi okuyabilirsiniz.
İnternetin temel fikir ağa bağlı bilgisayarlar arasında veri paketlerinin iletilmesiydi. Veri paketleri bir bilgisayardan diğerine aktarılarak hedefe gidiyordu. Bugün router ve switchlerin yaptığını o günlerde Interface Message Processors yani arayüz mesaj işlemcileri denilen bilgisayarlar yürütüyordu. Kısaltması IMP olan bu PC'ler, verileri yönlendiriyordu.
Arayüz mesaj işlemcisi...
Telefon bağlantılarında iki taraf arasında sabit bir bağlantı varken, internette pek çok paket, pek çok bilgisayar arasında gidip geliyordu. Ağdaki bir bilgisayar veya bir bölüm erişilemediğinde IMP'ler paketleri başka bir yoldan hedefe ulaştırıyordu. Bu esneklik, internetin güçlü yanı.
1970'lere doğru bilgisayar ağlarının yararları göze çarpmaya başlamıştı ve standartlardaki farklar, protokol çeşitliliği ağları birbirinden ayırıp yalıtıyordu. Oluşan darboğazı aşmak için ortak bir standart gerekliydi. Vint Cerf ve Robert E. Kahn ikilisi bunun farkına vararak TCP/IP'yi geliştirdi. Bu sayede farklı ağlardaki bilgisayarlar iletişim kurabiliyordu. Herkesin yararlanabilmesi için TCP/IP'nin işletim sistemine dahil edilmesi yeterliydi.
TCP/IP nasıl çalışıyor
Bilgisayarlar arasında yollanan veri paketleri, farklı uygulamalar tarafından farklı portlara atılıyor. Port 80 http trafiği için, 443 HTTPS şifreli erişim için kullanılıyor. E-posta 25 numaralı port üzerinden yollanıyor, 110 numaralı porttan alınıyor.
Verilerin doğru adrese ve doğru olarak yollandığından emin olmak için belirli protokol detayları var. El sıkışma denilen uygulamalar ile bilgisayarlar kendi aralarında ne atıp ne alacaklarını önceden konuşuyorlar. Daha sonra buna uygun bir şekilde veri transferine başlıyorlar.
Bağlantı için birinci bilgisayar kendi adresini, bağlanmak istediği bilgisayarın adresini, port numarasını ve rastgele bir sayıyı SYN denilen bir paket içerisinde yolluyor. SYN, Synchronisation yani uyumlamanın kısaltması oluyor.
Bilgisayarlar el sıkışıyor
Karşı tarafta verinin yollandığı portu kontrol eden yazılım bağlantıyı kabul ederse, cevap atıyor. Buna da SYN-ACK deniliyor, ACK Acknowledgement yani tanıma anlamına geliyor. Bu pakette de rastgele bir sayı yer alıyor.
Bu SYN-ACK'ı alan bilgisayar, geriye bir kez daha ACK mesajı yollayınca iki taraf anlaşmış oluyor ve bağlantı kuruluyor. İki bilgisayar arasında yollanan veriler, daha önce belirttiğimiz rastgele sayılar sayesinde tanımlanıyor. El sıkışma sırasında oluşturulan rastgele sayı paketlerin her birine eklendiğinde, karşı taraf yollanan kaynağı tanıyor. Karşı taraftaki bilgisayar da aynı şekilde emin oluyor. Kaynak, IP adresi, port numarası ve artan sayıların birbirini takip etmesi sayesinde her paket tek tek tanımlanabilir oluyor.
Yollanan her paketin alındığı onaylanıyor, eğer onaylanmazsa paketin ulaşmadığını varsayan bilgisayar tekrar yolluyor.
Güvenlik
TCP/IP gördüğünüz üzere verinin ulaştığını garanti altına almaya çalışan bir standart. Güvenlik için tasarlanmamış; güvenlik portlara bağlı yazılımlara bırakılmış. Eğer bağlantınızı şifrelemezseniz, veri aktarım yolu üzerinde olan herkes bu paketleri okuyabilir ve içerisinden kullanıcı ismiyle şifre gibi bilgileri çalabilir. Buna aracı saldırısı da denir.
Bu yöntemi kullanan saldırganlar veriyi kendi bilgisayarlarına yönlendirir, kopyalar ve bozuntuya vermeden gitmesi gereken yere yollayarak gizli kalırlar. WireShark gibi ağ koklama yazılımları başkalarının PC'lerini dinlemeye yarar.
Bu tür bir tehlikeye karşı internet sitelerinde HTTPS bağlantı olmasına dikkat etmek gerek. HTTP basit metin olarak kolaylıkla okunabilirken, HTTPS şifrelidir ve kullanıcı bilgilerinin çalınması çok daha zordur. Özellikle de e-postalarınıza bakarken HTTPS kullanıldığından emin olun. Normalde şifreli bağlantı sunarken hiçbir site durduk yerde normal http'ye dönmez. Bu da sahte bir siteye yönlendirildiğinize dair bir uyarı olabilir.
Klasik hackler
TCP/IP değişmediği için standart hack yöntemleri de pek değişmiyor. Yıllardır TCP/IP program hatalarından faydalanan saldırganlar, kullanıcıları internetten kopartabiliyorlar. Buna "denial of service attack" hizmet reddi saldırısı deniliyor.
Bu saldırının iki çeşidi mevcut. Bunlardan biri internet bant genişliğini tüketmeye yönelik. Günümüzde ne olup bittiğinden habersiz kullanıcıların zombi bilgisayarları sayesinde bu çok popüler. Saldırganlar ele geçirdikleri bilgisayarlardan oluşan "botnet"ler üzerinden dev saldırılar düzenleyebiliyorlar. Büyük miktarda SYN paketi yollanıyor. Karşıdaki bilgisayar birilerinin bağlanmaya çalıştığını görüp her isteğe SYN-ACK paketi yolluyor. Hafıza kısıtlı ama bağlantı isteği sonsuz olunca da tıkanıyor ve internetten düşüyor.
İkinci tür saldırı daha ilginç ve TCP/IP yazılımının kendisini çökertmeye yöneliyor. Saldırganlar ya çok büyük ya da üst üste binen parçalara ayırılmış bir veri paketi yollayarak hedefi şaşırtıyor ve kilitliyor. İlk saldırı kaba güce dayanırken, bu saldırı tam bir cerrah işi. Dikkatle ayarlanmış tek bir veri paketi, bütün bir sunucuyu çökertebiliyor. Yeniden başlatılana kadar oluşan kayıplar ise korkunç olabiliyor.
Zombi ya da bot, PC'niz kullanılıyor
Bu saldırı tipinin yaygınlığını kaybetmesinde bu yöntemin daha çok bilgi istemesinin yanında, geliştiricilerin TCP/IP kodunun güvenliği üzerinde uzunu uzadıya çalışarak, açıkların çoğunu kapatmış olmasının büyük payı var.
Hackerlar ağ yazılımındaki yazılımda bulunan program hatalarını değerlendirmeyi yeğliyor. Çalışan bir sisteme kod enjekte etmenin mümkün olduğu durumlar var Bu sayede bir arka kapı açılarak, trojan bulaştırmak mümkün oluyor. Bu şekilde gizlice ele geçirilen bilgisayar bir botnet'in parçası ya da yasaklı porno resimler için bilinçsiz bir sunucu haline gelebiliyor.
Otomatik hale getirilmiş yazılımlar bir günde binlerce bilgisayarı ele geçirebiliyor. Birkaç bin PC'den oluşan bir botnet oldukça güçlü oluyor. Conficker virüsünün botnet'i 2008 sonunda küresel bir panik doğurmuştu.
Korunmuyorsanız yandınız
İnternet trafiğinin devamı için portların açık olması gerekse de önlem almaz lazım. Ne kadar az port açıksa o kadar iyidir. Tabii ki hem Windows, hem de Linux işletim sistemlerinde otomatik güncellemeleri açık tutarak en son tehlikelere karşı tedbirli olmanız gerekiyor. Anti-virüs yazılımlarının da güncellemeler olmadan sizi koruyamayacağını haber ve makalelerimizde sık sık hatırlatıyoruz. Bunları yapar ve Comodo gibi ücretsiz bir firewall da kurarsanız sisteminiz oldukça güvenli hale gelecektir.
Windows'un kendi firewall'u da oldukça yararlıdır. Halka açık Wi-Fi erişimi gibi özellikle güvensiz bir bağlantı üzerindeyseniz burada pek istisnai kural bırakmamanızı tavsiye ederiz. Windows firewall ayarlarına XP'de kontrol paneli altından ulaşabilir ve ilk sekmeden istisnaları kapatabilirsiniz. İkinci sekme erişimine izin verdiğiniz yazılımları listeler. İnternete erişmesine gerek olmayan yazılımları buradan engelleyin. Vista'da da bu özellik aynı şekilde çalışıyor ve erişiliyor.
Hangi portlar açık kalmalı?
Modeminizde router özelliği varsa; ki artık çoğu çok Ethernet portlu veya kablosuz modemde var, firmware'i güncel tutmaya ve belli portlar haricinde kalanları kapatmaya dikkat edin. E-posta için port 25 ve 110'u, DNS için port 53'ü, http için port 80' ve HTTPS için port 443'ü açık bırakın. Hangi portun işe yaradığını bu listeden görebilirsiniz: Port listesi.
En büyük güvenlik açığı Microsoft'un NetBIOS hizmetlerindedir. Bu yüzden 137, 138 ve 139 no'lu portları kapatın. Bunlar açıksa bilgisayarınız ele geçirilebilir. Bunları yaptıktan sonra nmap.org veya www.t1shopper.com/tools/port-scanner adresinden portlarınızı taratarak hangilerinin açıkta olduğunu görebilirsiniz.
Derinlemesine arama için bir port aralığı girebilir ve bilgisayarınızda özel bir portu dinleyen botnet ya da zararlı yazılım olup olmadığını anlayabilirsiniz. Ancak bu hizmeti sömürmemek için 1 ve 65,535 yazmayın. Bir severde en fazla 500 portluk bir aralık girerek parça parça taratın.
Nasıl engelleyeceksiniz?
Firewall veya router ayarlarından yapabileceğiniz gibi Windows masaüstünden de kolaylıkla yapabilirsiniz.
Ağ bağlantılarına sağ tıklayarak açtığınız özellikler penceresinden, Internet Protocol (TCP/IP) kısmına gelin. Sağ alttaki özellikler kısmına tıklayın. Açılan pencerenin seçenekler kısmına gelin. Buradan da gelişmiş ayarları seçtiğinizde, açılan penceredeki en son sekmeyi seçin. Bu sekmede TCP/IP filtreleme seçeneğini göreceksiniz. Özellikler tuşuna tıklayın ve son pencere karşınıza gelsin. Buradan kutuya işaret koyarak filtrelemeyi açabilir, sizin seçtiğiniz portlar haricinde yazılımların bağlanmasını engelelyebilirsiniz. Elbette bunu yapmadan önce kullandığınız yazılımların ve hizmetlerin bağlantı portlarına bakmanız gerekiyor.
Böylece TCP/IP nedir, internette paketler nasıl iletilir ve portlarınızı nasıl korursunuz sorularını cevaplamış olduk. Daha güvenli bir internet dileğiyle...