Cisco Routerlarda DHCP Class Yapısı

Herhangi bir kullanıcı bir dhcp sunucusundan ip isteğinde bulunduğu zaman, dhcp sunucusunda tanımlanmış dhcp pool konfigürasyonunda girilen class’lar sırayla eşleşene kadar incelenir. Eğer eşleşen herhangi bir class olursa ip request e eşleşen dhcp pool’da belirtilen aralıktan bir ip adresi verilir.

Bir dhcp pool bir ya da birden fazla class ile tanımlandığında bu şu anlama gelir: eğer bir adres bu pool’da tanımlanan classlar’dan herhangi biriyle eşleşmezse hiçbir şekilde ip isteğine cevap verilmeyecektir. Böylece, class yapısının kullanılması bir anlamda erişim kontrolü (access control) yapılmasını sağlamaktadır ve tanımlanan pool’un subnetine göre daha fazla adres aralığı kullanılabilmesini sağlamaktadır.

Buna ek olarak da, birden fazla dhcp pool aynı class yapısı ile konfigüre edilebilir.

Dhcp Class Yapısıyla IP Dağıtmak için Kullanılacak Komutlar

1-) DHCP’ten ip dağıtmada kullanılan Option 82 bilgisinin öncelikle routerda enable hale getirilmesi gerekmektedir (cisco IOS larda bu dhcp server özelliği defaultta açıktır), eğer bir şekilde disable duruma geldiyse aşağıdaki komutla enable hale getirilebilir. Okumaya devam et “Cisco Routerlarda DHCP Class Yapısı”

DMVPN

Dmvpn (Dynamic Multipoint Virtual Private Network) bir site-to-site vpn şekli olup üç Cisco IOS özelliği kullanarak iletişim sağlar. Bunlar NHRP (Next Hope Resolution Protocol ), mGRE (multipoint GRE) ve IpSec’tir. DMVPN’in çalışma mantığına geçmeden önce bu özelliklerden kısaca bahsedelim.

NHRP: Bu özellik sayesinde her bir şube, merkeze tünelle bağlı olan diğer şubelerin fiziksel ve tünel adreslerini öğrenerek bu bilgileri hafızasına alır. Bu işlemler sırasında merkez NHS (Next Hop Server), şubeler ise NHC (Next Hop Client) görevi görürler.

mGRE: Normal GRE tünelinin her bir şube için yeni bir tünel interface oluşturmasını özelliğini ortadan kaldırarak bir tünel interface’ inde birden fazla tünel desteklemesini sağlar. NHRP konfigürasyonuyla aktif hale gelir.

IpSec: Ip paketlerinin güvenli olarak hedefe ulaşmasını sağlayan protokoldür. Okumaya devam et “DMVPN”

Kuantum Kriptografi

Kriptoloji, kriptosistem ya da şifre adı verilen bir algoritma kullanılarak bir mesajın sadece anahtar olarak bilinen ek bilgilerle birleştirilip okunmasının sağlanması bilimidir. Bir kriptosisteme güvenli denebilmesi için anahtar olmadan kriptogramın kilidini çözmek imkansız olmalıdır.

Kriptolojide amaç, bilgiyi sadece gerçek alıcıya ulaşabilecek şekilde iletmektir. Modern şifrelerde anahtar diye çağrılan belirli parametrelerin bir kümesi, düzmetin ile birlikte şifreleme algoritmasına ve şifremetin ile birlikte de şifre çözme algoritmasına giriş olarak uygulanır. Şifreli metnin güvenliği tamamen anahtarın gizliliğine bağlıdır. Şifreleme ve şifre çözme algoritmalarının herkese açıklanmasında herhangi bir mahsur bulunmamaktadır.
Anahtar tamamen rasgele seçilen yeterli uzunluktaki bir bit dizisinden oluşur. Anahtar oluşturulduğunda, sonraki iletişim şifreli mesajları herkese açık, kalabalık bir ortamda yapılan bir anons gibi pasif dinlemeye karşı tamamen savunmasız bir kanal üzerinden göndermeyi içerir. Prensip olarak, herhangi bir klasik anahtar dağıtımı meşru kullanıcılar gizlice dinlendiklerinin farkına varmaksızın her zaman pasif olarak dinlenebilir.

Kuantum kriptografi ya da diğer adıyla kuantum anahtar dağıtımı, güvenlik modelinin anahtar yönü olarak matematiğin aksine daha fazla fiziğe güvenmesi bakımından geleneksel kriptografik sistemlerden farklıdır. Okumaya devam et “Kuantum Kriptografi”

Wireless USB

WUSB (Kablosuz USB Teknolojisi)

WUSB (Wireless USB – Kablosuz USB), bilgisayar ve çevre birimlerinin aralarında kısa mesafede, yüksek bant genişliğinde kablosuz USB bağlantısı kurmak amacıyla geliştirilen teknolojidir. USB’nin kurulum kolaylığı sağlaması ve yığın bellekleme, ses v.b. HID(Human Interface Device – İnsan Arayüz Aygıtı) ürünlerini destekleyen geniş yelpaze ürün desteğinin bulunması; USB’yi günümüzde en çok kullanılan ve en başarılı bilgisayar çevre birimi bağlantı yöntemi haline getirmiştir. Bu bağlantıları kablodan bağımsız olarak gerçekleştirebilmek için WUSB uygulaması geliştirilmektedir.

Kablosuz USB (WUSB)’ nin amacı kablolardan bağımsız olarak sunucu ve istemciler arasında USB 2.0 kalitesinde ve hızında veri iletişimi sağlamaktır. Bu amaçla USB 2.0′ da kullanılan kabloların yerini radyo dalgalarının alması ilk etapta önemli bir şekilde güvenlik açığı oluşturmaktadır. Bu nedenle kablosuz USB nin kullanılabilmesi için başka mekanizmalar geliştirilmiştir.
Okumaya devam et “Wireless USB”

G.SHDSL

G.SHDSL Bağlantı Türleri ve Konfigürasyonu

Bağlantı Türleri

İki farklı G.SHDSL bağlantı türü bulunmaktadır;

a- Noktadan Noktaya Bağlantı: Noktadan Noktaya bağlantıda merkezde bulunan metro Ethernet bağlantısı ya da ATM bağlantısı üzerinde ilgili devre için subinterface’de vlan tanımlarının yapılması gerekmektedir. Devreye atanan vlan, Internet Servis Sağlayıcısı tarafından (şu anda sadece Türk Telekom) belirlenir. Merkezde tanımladığınız vlan’a atadığınız IP adresi üzerinden şube ile merkezin noktadan noktaya haberleşmesi gerçekleşmiş olur. Noktadan noktaya devrelerde Türk telekom tarafından belirlenen VPI/VCI değerleri 0/35’dir.

b- İnternet ve VAE Devresi: İnternet servis sağlayıcılar üzerinden gerçekleştirilen bağlantı türünde ISS tarafından size atanacak kullanıcı adı ve şifre ile ISS’in atayacağı dinamik ya da statik IP adresi alınabilmektedir. Türk Telekom tarafından 2007 yılından itibaren gerçekleştirilen VAE (Veri Akış Erişimi) anlaşması ile xDSL devrelerin kullanıcı adlarına gore ilgili ISS tarafında sonlanması sağlanmıştır. Örnek olarak xyz@abc kullanıcı adı için authentication bilgisi abc ISS’sinde, xyz@qwe kullanıcı adı için authentication bilgisi qwe ISS’sinde sonlanmaktadır. Türk telekom tarafından İnternet ve VAE devreleri için belirlene VPI/VCI değerleri 8/35’tir.
Okumaya devam et “G.SHDSL”

Kim Bu Agcilar?

Selam millet,

Bu site nedir, kimdir, niyediri bir iki kelime ile anlatmak istedim. Ben ve arkadaslarim hayatını ağ tasarlamak, kurmak ve sorunları ile uğraşmakla geçiren insanlarız. Sadece bunlarla uğraşmak yetmiyormuş gibi kaşındık 🙂 agcilarin olusturdugu guzel bir blog sitesi oluşturalım dedik.

Şaka bir yana teknolojinin hızına yetişebilmek gerçekten bir savaş. Bizde sürekli bu savaşın içinde araştıran ve yeni şeyler öğrenmekten zevk alan insanlar olarak öğrendiklerimizi başkaları ile paylaşmak istedik ve ortaya “agciyiz.net” çıktı.

Tamamda kim bu agci çocuklar ? 🙂 Okumaya devam et “Kim Bu Agcilar?”

SAN Güvenlik Çözümleri

SAN da güvenliği sağlamak için ilk olarak depolama cihazlarını sunucuya bağlayan fiziksel yapının(SAN Fabric), bağlı olan tüm istemcilerin ve disklerin güvenli olması gerekmektedir. SAN güvenliği sağlanırken göz önünde bulundurulması gereken 6 yapı vardır;
1. SAN management; Administrator tarafından kullanılan yönetim servislerinin güvenliğinin sağlanması
2. Fabric access; sunucu ve depolama üniteleri arasındaki bağlantının güvenliğinin sağlanması.
3. Target access; depolama cihazlarına ve LUN’a erişim güvenliğinin sağlanması
4. SAN Protocols; kullanılan protokollerin güvenliğinin sağlanması
5. IP storage access; FCIP ve iSCSI güvenliğinin sağlanması
6. Data integrity and secrecy; ağda iletilen veriyi clear text yerine şifrelenmiş olarak yollayarak güvenliğin sağlanması
Aşağıdaki şekilde yukarda verilen 6 adım gösterilmektedir. Okumaya devam et “SAN Güvenlik Çözümleri”

Storage Area Network

SAN TEMELLERİ

Artan depolama alanı gereksinimleri büyük kuruluşların geleneksel dosya sunucularından daha gelişmiş olan SAN çözümlerine yönelmesine sebep olmuştur. SAN; sunucular ve depolama üniteleri arasında hızlı, güvenilir bağlantı sağlayan özelleştirilmiş bir ağ türüdür. SAN uygulamasında bir depolama ünitesi herhangi tek bir sunucunun özel malı olmak yerine, depolama birimleri ağdaki sunucu ve diğer depolama ünitelerinin ortak malıdır. Kısacası SAN; sunucuları depolama birimlerine, depolama birimlerini birbirlerine ve sunucuları birbirine bağlamaktadır. Şekilde temel bir SAN topolojisi görünmektedir.

san1
Okumaya devam et “Storage Area Network”

Zone-Based Policy Firewall – Part 1

Zone-Based Policy Firewall Özellikleri

2006 yılında Cisco 12.4(6)T IOS ile Zone-Based Policy Firewall yapılandırma modelini sundu. Bu yeni model ile interface’ler zone’lara atanır ve zone’lar arasındaki trafiğe bir inspection policy uygulanır. Zone based firewall bir interface’teki değişik kullanıcı gruplarına farklı policy’ler uygulamaya imkan tanır. Bunun yanında default deny-all policy sayesinde varsayılanda zone’lar arasındaki trafiğin yasaklanmasını da sağlar.
Zone-based policy firewall ZPF, ZBF ya da ZFW gibi kısaltmalarla anılır. ZPF statefull packet inspection, application inspection, URL filtreleme ve DOS etkisizleştirilmesi gibi standart firewall teknolojilerini destekler.

Firewall policy’leri Cisco Common Classification Policy Language (C3PL) kullanılarak yapılandırılır. C3PL hiyerarşik bir yapıda network protocol inspection tanımlar ve kullanıcıların tek bir inspection policy altında gruplanmasını sağlar. Okumaya devam et “Zone-Based Policy Firewall – Part 1”

Solicited-Node Multicast Addresses

Solicited-Node Multicast Addresses

Normal multicast adreslerinin yanı sıra IPv6’da her unicast adresin solicited-node address olarak adlandırılan multicast adresi vardır. Bu multicast adresi cihazın unicast adresinden özel bir şekilde üretilir. Solicited-Node Multicas adresi IPv6 Neighbor Discovery protokolünde kullanılır, temel olarak IPv4 te kullanılan ARP tekniğinin IPv6’ya uyarlanmasını sağlar.

Tüm solicited-node adreslerinde T flag 0, scope ID 2 dir. Yani “FF02” şeklinde başlarlar.

Unicast IPv6 Adresinden Solicited Node IPv6 Adresi Üretilmesi

FF02::1:FF00:0 adresinin son 24 bit’i ile unicast ip adresi matematiksel “veya” işlemine tabi tutulurlar, bu işlem sonucunda Solicited-Node Multicast Addresses adresine ulaşılır. Daha kolay bir şekilde açıklayacak olursak;

Solicited-Node Multicast Adres = FF02:0:0:0:0:1:FF + Unicast adresin son 24 biti

cc781672.dda44e97-6503-43b8-9ec1-ca9ec435b2fd(en-us)

Bu bilgiler ışığında IPv6 adresi 2001:a98:8000:5:78e0:5830:820:5a9e olan bir cihaz aynı yerel ağdaki hedef 2001:a98:8000:5:8c72:2fb6:31a7:909a adresini pinglemek istiyor. Bu durumda beklentimiz kaynak makinenin ulaşmak istediği unicast

adresininden oluşturacağı Solicited-Node Multicast adresine paket yollamasıdır.

Hedef Unicast adres : 2001:a98:8000:5:8c72:2fb6:31a7:909a

FF02:0:0:0:0:1:FF adresine unicast adresinin son 24 biti olan A7:909A’i eklersek FF02::1:FFA7:909A adresini elde ederiz yani yukarıdaki unicast adresine aynı yerel ağdan ulaşmak isteyen bir cihaz mac adresini öğrenmek için bu ip adresine ICMPv6 Neighbor solicitation mesajı yollar. Bu işlem sırasında Wireshark ile iletişim kurmak isteyen cihazın yolladığı paketler aşağıda görülmektedir.

Untitled