Ağ Güvenliği ve IP Adresleri

Küçük ya da büyük fark etmeksizin bir ağ üzerinde gönderilen herhangi bir paketin nihai hedefi olabilecek birçok bilgisayar üyesi bulunur. Bir ağ iletişiminde anlaşılması gereken ilk nokta ise, veri paketlerinin doğru bilgisayarlara veya doğru varış noktalarına nasıl gideceğinin belirlenmesidir.  İnternetin bütününü göz önüne aldığımız zaman tüm dünyaya yayılmış olması nedeni ile milyonlarca bilgisayar olduğunun ve bu bilgisayarlar arasında doğru hedefin belirlenen kurallar altında ulaşılabileceğinin altını çizmek istiyoruz.

IP adresleri TC Kimlik numaraları gibidir. Bir devlet vatandaşlarına bir kimlik numarası belirler. Ülkemizde TC Kimlik olarak nitelendirdiğimiz bu numaralar ilgili kişilerin bilgilerini içerir ve sorgulandığı zaman karşınıza o kişinin çıkmasını sağlar. Bu noktada TC Kimlik numaraları benzersizdir. İki kişiye aynı TC Kimlik numarası verilmez ve böyle bir durum ortaya çıkarsa, birinin sahte olacağı anlaşılarak iki kişi de sorgulamaya tabi tutularak TC Kimlik numarası devre dışı kalır.

Ağ iletişiminde de aynı kural geçerlidir. Bir bilgisayar bir ağa katılacağı zaman bir kimlik numarası alır. Buna IP adresi adı verilir. IP adresleri bir mektup adresi görevi görerek ilgili paketin doğru yere ulaşmasını sağlar.

Bir veri paketini mektup gibi düşünürseniz, doğru yere gitmesini sağlamak için üzerinde bir mahalle, sokak adresi ve kişi adı yer almalıdır. Veri paketlerinde bu bilgi IP v4 adresidir. Günümüz internet dünyasında en yaygın olan iletişim protokolü IP v4’dür.

IP Adresi Nedir?

IP v4 adresleri, noktalarla ayrılmış dört bloktan oluşan ve her blokta üç basamaklı sayının bir serisinden oluşur. Örnek olarak 192.168.1.1 adresini verebiliriz. Üç basamaklı sayıların her biri 0 ile 255 arasında olmak zorundadır. Yani 300.400.555.666 gibi bir adres olamaz. En büyük rakam 255 olmak zorundadır. Bu kuralın nedeni ise bu adreslerin aslında ikili sayı sisteminden oluşmasıdır. Veri Paketleri yazımızda bu konuya ayrıntılı olarak değinmiştik. Doğal olarak matematikte ikili sistemde bu blokları 255’e kadar kullanabiliyoruz.

AĞ Güvenliği ve IP Adresleri ip nedir ip adresi nedir

Öncelikle 1 baytın 8 bite eşit olduğunu hatırlatmak isteriz. Ondalık biçime dönüştürdüğümüz zaman 8 bitlik bir ikili sayı 0 ile 255 arasında olabilir.

IP v4 32 bit sistemi dikkate alındığında yaklaşık olarak 4,2 milyar olası benzersiz IP adresi türetilebilir. Tüm dünyayı dikkate aldığımızda milyarları geçen bilgisayar veya IOT cihazlarına bu kadar ip adresinin yetmediğini ve bu sebeple yakın bir gelecekte IP v6 altyapısına geçiş yapmak zoruna kalacağımızı görüyoruz. Peki IPV5 ne oldu? Sorusuna da cevap olarak elbette ki IP v5’in test amaçlı olarak kullanıldığını ve hiçbir zaman gerçek hayatta aktif olmayacağını söylemek isteriz.

Bir bilgisayarın IP adresi size o bilgisayarın bulunduğu ağ hakkında birçok bilgi vermektedir. Bir IP v4 adresindeki ilk bayt (ilk ondalık sayı), makinenin hangi ağ sınıfına ait olduğunu gösterir. 


Ağ Sınıfları ve Kullanım

SINIFIP AralığıKullanım Türü
A0-126Büyük ağlar için kullanılır. Tamamı kullanıldı.
B128-191Büyük şirket ve devlet ağları. Hepsi kullanıldı.
C192-223En yaygın IP adresi grubudur ve tükenmek üzeredir. 
D224-247Çok noktaya yayın için ayrılmıştır.
E248-255Deneysel kullanım için ayrılmıştır.

Tabloya dikkat ederseniz 127 IP aralığı yukarıdaki tabloda herhangi bir sınıfta listelenmemiştir. Çünkü IP adresi 127.0.0.1, makinenize atanan IP adresine bakılmaksızın bulunduğunuz makinenin lokal döngüsü olduğunu belirtir. Bu adrese geri döngü adresi (loopback) denilmektedir. Bu adres yalnızca makinenin ve NIC kartının test edilmesinde kullanılır. 

Bu belirli sınıflar, adresin hangi kısmının ağı ve hangi kısmının düğümü temsil ettiğini söylediklerinden önemlidir. Örneğin, bir Sınıf A adresinde, ilk sekizli ağı, geri kalan üçü düğümü temsil eder. Bir B Sınıfı adresinde, ilk iki sekizli ağı, ikinci ikisi de düğümü temsil eder ve son olarak, bir C Sınıfı adresinde, ilk üç basamak ağı ve sonuncusu düğümü temsil eder. 

Dikkat etmeniz gereken bazı çok özel IP adresleri ve IP adresi aralıkları da vardır. 

Birincisi yukarıda belirtiğimiz gibi 127.0.0.1 geri döngü adresidir. Bu sebeple ağlarda kullanılamazlar.  Bulunduğunuz makinenin ağ arayüz kartı ile iletişime geçmenin özel bir yoludur. Özel IP adresleri de dikkat edilmesi gereken bir diğer konudur. Belirli IP adresi aralıkları iç ağlarda kullanılmak üzere tasarlanmıştır ve bu ip adresleri ile dış ağa erişim sağlayamazsınız. Bunlar genel IP adresleri olarak kullanılamaz, sadece iç ağ (ev ağı, kurum iç ağı gibi) IP adresleri için kullanılabilir. 

Özel IP Adresi Aralıkları

  • 10.0.0.10 – 10.255.255.255 
  • 172.16.0.0 – 172.31.255.255 
  • 192.168.0.0 – 192.168.255.255 

Bazen ağ oluşturmada tecrübesiz olan kişiler, genel ve özel IP adreslerini anlamada sorun yaşayabilirler. Daha önce IP v4 adresleri hakkında bilgileri yoksa bu IP adreslerini yanlışlık yaparak kullandıklarını görmekteyiz. Küçük bir ağda iç iletişim için bu IP adresleri kullanılır. Bu yapı kurulurken de her bilgisayara özel bir IP adresi verilmelidir.

Özel IP adreslerini bir binanın içerisindeki daire numaraları olarak düşünebilirsiniz. Binanın dış numarası genel IP v4 adresidir. Ancak içerideki dairelerin numaraları yukarıda belirtmiş olduğumuz iç IP adreslerinden oluşmaktadır. Birden fazla daireye aynı numarayı verirseniz bir mektup geldiği zaman bu mektubun hangi daireye gideceği konusunda sorun yaşanır. Çalışan bir ağ için iç IP adresleri de kullanılırken benzersiz bir şekilde vermelidir.

Elbette ki bir aparman içerisindeki daire numaraları 1,2,3,4,5,6 gibi giderken, başka bir apartmanda da 1,2,3,4,5,6 diye daire numaraları kullanılır. Çünkü bunlar iç ağdır ve özel ip adresleri bulundukları ağ içerisinde geçerlidir. Dış ağa bu ip adresleri ile çıkış yapılmadığı için her ağda özel ip adresleri aynı şekilde kullanılabilir.

Yani birkaç ağ birbirleri ile Genel IP adresleri ile iletişim kurar. Dış bina numarası benzersizdir. İç dairelerin numaraları ise diğer bina ile aynı şekilde olabilir. Ancak dış ip adreslerimiz dünya çapında kullanıldığı için benzersiz olmalıdır. Dış bina numaraları IPV4 adreslerinizdir. İç daire numaraları ise IPV4 Özel IP bloklarından oluşur.

NAT Nedir? Nasıl Kullanılır?

Bu noktada yönlendirici adını verdiğimiz router cihazları devreye girmektedir. Bir ağ geçidi yönlendiricisinin görevlerinden biri, ağ adresi çevirisi (NAT) olarak görev yapmasıdır. NAT kullanarak, bir yönlendirici giden paketlerdeki özel IP adresini alır ve paketin İnternet üzerinden yönlendirilebilmesi için ağ geçidi yönlendiricisinin genel IP adresiyle değiştirir. Bu sayede iç ip adresinden dış bina numaranıza geçiş yapmış olursunuz. Bir apartmanda 32 daire olduğunu düşünün! Hepsinin dış bina numarası aynıdır. Bir ağ içerisinde de 32 adet bilgisayar olduğunu ve hepsinin aynı modemden internete çıktığını düşünün! Bu noktada da 32 adet bilgisayarın iç ağ adresleri farklı olurken, dış bina adresleri yani İnternete çıkış ipleri aynıdır.

Şimdi Dikkatimizi Alt Ağlarımıza Çevirelim. 

Alt ağ oluşturma, bir ağı daha küçük bölümlere ayırmaktır. Genelde büyük ağlar / büyük kurumlar içerisindeki departmanları ayırmak için kullanılır. Örneğin, 192.168.1.3 IP adresini kullanan bir ağınız varsa, 255 olası IP adresi ayırdığınızı (kullanılsın veya kullanılmasın) anlayabiliriz.  Bu ağın içerisinde iki ayrı departman olduğunu düşünerek iki ayrı alt ağa bölmek istediğimizi düşünelim. İşte tam burada alt ağ dediğimiz nokta karşımıza gelir.

Daha teknik olarak, alt ağ maskesi, 32 bit ikili IP adresini ağ ve düğüm kısımlarına bölmek için her ana bilgisayara atanan 32 bitlik bir sayıdır. İstediğiniz numarayı da giremezsiniz. Bir alt ağ maskesinin ilk değeri 255 olmalıdır; kalan üç değer 255, 254, 252, 248, 240, 224 veya 128 olabilir. Bilgisayarınız ağ IP adresinizi ve alt ağ maskesini alıp birleştirmek için bir ikili AND işlemi kullanır.

Alt ağ kullanmamış olsanız bile, zaten bir alt ağ maskenizin olduğunu bilmek sizi şaşırtabilir. C Sınıfı IP adresiniz varsa, ağ alt ağ maskeniz 255.255.255.0‘dır. Yani yalnızca 255 adet ip kullanılabilir. B Sınıfı IP adresiniz varsa, alt ağ maskeniz 255.255.0.0‘dır. Yani 255×255 = 65.000’den fazla ip adresi kullanabilirsiniz. Son olarak, eğer Sınıf A ise, alt ağ maskeniz 255.0.0.0’dır. Bu noktada da daha çok ip adresi kullanılır. Bunu unutmamamız gereklidir!

Şimdi bu sayıları ikili sayılarla ilişkili olarak düşündüğümüz zaman 255 ondalık değeri, ikili olarak 11111111 değerine dönüştürülür. Böylece, ağ adresinin ağı tanımlamak için kullanılan kısmını “maskelersiniz” ve kalan kısım ayrı ayrı düğümleri tanımlamak için kullanılır. 

Şimdi alt ağınızda 255’ten az düğüm istiyorsanız, alt ağınız için 255.255.255.240 gibi bir şeye ihtiyacınız vardır. 240’ı ikiliye dönüştürürseniz, 11110000 olur. Bu, ilk sekizli ve son sekizlinin ilk 4 biti ağı tanımlar. Son sekizlinin son 4 biti düğümü tanımlar. Bu, bu alt ağda 1111 (ikili) veya 15 (ondalık) düğümünüz olabileceği anlamına gelir. Bu, alt ağ oluşturmanın temel prensibidir. Bu prensipleri de unutmamamız gereklidir.

Alt ağ, yalnızca belirli, sınırlı alt ağları kullanmanıza izin verir. Başka bir yaklaşım ile  CIDR veya sınıfsız alanlar arası yönlendirmedir. Bir alt ağ maskesi tanımlamak yerine, IP adresinin ardından eğik çizgi (/) ve bir sayı gelir. Bu sayı, 0 ile 32 arasında herhangi bir sayı olabilir, bu da aşağıdaki gibi IP adresleriyle sonuçlanır:

  • 192.168.1.10/24 (C Sınıfı IP adresidir)
  • 192.168.1.10/31 (Alt ağ maskeli bölünmüş C Sınıfı IP adresidir)

Bunu kullandığınızda, alt ağları olan sınıflara sahip olmak yerine, sınıfsız IP adresleri sağlayan değişken uzunlukta alt ağ maskelemeye (VLSM) sahipsiniz anlamına gelir. Bugünkü dünyada ağ IP adreslerini tanımlamanın en yaygın yolu bu tanımlamalardır.

Yeni IP adreslerinin yakında tükeneceği konusunda endişe etmemize gerek yok. IP v6 standardı zaten mevcut durumda test edilmiş ve onaylanmıştır. IPv4 adreslerinin kullanımını genişletmek için de NAT veya benzeri yöntemler kullanılmaya devam etmektedir.

IP adresleri yukarıda bahsettiğimiz gibi iki gruba ayrılır. Bu gruplar genel ve özel ip adresleri olarak ifade edilir.  

Ağ yöneticileri genellikle 10 ile başlayan 10.102.230.17 gibi özel IP adresleri kullanır. Diğer özel IP adresleri 172.16.0.0–172.31.255.255 ve 192.168.0.0–192.168.255.255 şeklinde tanımlanmıştır.

Ayrıca, bir ISS’nin genel IP adresleri havuzu satın alacağını ve oturum açtığınızda bunları size atayacağını da unutmayın. Bu nedenle, bir ISS’nin 1000 genel IP adresi olabilir ve 10.000 müşterisi olabilir. 10.000 müşterinin tümü aynı anda çevrimiçi olmayacağından, ISS, bir müşteri oturum açtığında bir IP adresi atar ve ISS, müşteri oturumu kapattığında başkasına bu IP adresini atayabilir. Genel olarak görülen bir durumdur.

IPv6 Adresleri

IPv6, 128 bit adres (32 yerine) kullanır ve 132.64.34.26.64.156.143.57.1.3.7.44.122.111.201.5 gibi uzun adreslerden kaçınmak için onaltılık numaralandırma yöntemi kullanılmıştır. Onaltılık adres biçimi, örneğin 3FFE: B00: 800: 2 :: C şeklinde görünür. Bu size olası trilyonlarca adres verir. Bu nedenle yakın bir gelecekte IP adreslerinin tükenme şansı yoktur. Ülkelerin bazıları içerideki iletişimlerinde IPv6’ya geçiş hazırlıklarını yapmakta ve bazıları ise bu geçişlerini tamamlamıştır.

IPv6’da alt ağ yoktur. Bunun yerine yalnızca CIDR kullanır. Ağ bölümü bir eğik çizgi (/) ve ardından ağ bölümüne atanmış adresteki bit sayısı ile gösterilir.

  • / 48
  • / 64

IPv6 için bir geri döngü adresi vardır ve : : / 128 olarak ifade edilir. Hatırlarsanız yukarıda IPv4’de bu adresin 127.0.0.1 olduğunu söylemiştik.

IPv4 ve IPv6 Arasındaki Farklar Nelerdir?

  • Bilgisayar dinamik olarak atanan adresler için yapılandırılmışsa ve bir DHCP sunucusuyla iletişim kuramıyorsa, kendisine genel bir IP adresi (168) atar. DHCP veya protokolü, bir ağ içindeki IP adreslerini dinamik olarak atamak için kullanılır.
  • IPv6 bağlantısı makine-yerel IP adreslerinin tümü fe80 :: ile başlar. Bilgisayarınız bu adrese sahipse, bu bir DHCP sunucusuna ulaşamadığı ve bu nedenle kendi genel IP adresini oluşturduğu anlamına gelir.
  • IPv4 özel adresinin IPv6 sürümüne baktığımız zaman, başka bir deyişle, bunlar gerçek IP adresleridir, ancak yalnızca bu yerel ağda çalışırlar. İnternette yönlendirilemezler.
  • Tüm ağ yerel IP adresleri FE ile başlar ve üçüncü onaltılık basamak için C – F‘e sahiptir: FEC, FED, FEE veya FEF şeklinde görülür.
  • DHCPv6, Yönetilen Adres Yapılandırma Bayrağını (M bayrağı) kullanır. 1 olarak ayarlandığında, aygıt durum bilgisi olan bir IPv6 adresi almak için DHCPv6 kullanmalıdır. Diğer durum bilgisi olan yapılandırma bayrağı O bayrağıdır. 1 olarak ayarlandığında, aygıtın diğer TCP / IP yapılandırma ayarlarını almak için DHCPv6 kullanması gerekir. Başka bir deyişle, ağ geçidinin IP adresi ve DNS sunucuları gibi şeyleri ayarlamak için DHCP sunucusunu kullanmalıdır.

Yazar: Hamza Şamlıoğlu