SAN Güvenlik Çözümleri

SAN da güvenliği sağlamak için ilk olarak depolama cihazlarını sunucuya bağlayan fiziksel yapının(SAN Fabric), bağlı olan tüm istemcilerin ve disklerin güvenli olması gerekmektedir. SAN güvenliği sağlanırken göz önünde bulundurulması gereken 6 yapı vardır;
1. SAN management; Administrator tarafından kullanılan yönetim servislerinin güvenliğinin sağlanması
2. Fabric access; sunucu ve depolama üniteleri arasındaki bağlantının güvenliğinin sağlanması.
3. Target access; depolama cihazlarına ve LUN’a erişim güvenliğinin sağlanması
4. SAN Protocols; kullanılan protokollerin güvenliğinin sağlanması
5. IP storage access; FCIP ve iSCSI güvenliğinin sağlanması
6. Data integrity and secrecy; ağda iletilen veriyi clear text yerine şifrelenmiş olarak yollayarak güvenliğin sağlanması
Aşağıdaki şekilde yukarda verilen 6 adım gösterilmektedir. Okumaya devam et “SAN Güvenlik Çözümleri”

Storage Area Network

SAN TEMELLERİ

Artan depolama alanı gereksinimleri büyük kuruluşların geleneksel dosya sunucularından daha gelişmiş olan SAN çözümlerine yönelmesine sebep olmuştur. SAN; sunucular ve depolama üniteleri arasında hızlı, güvenilir bağlantı sağlayan özelleştirilmiş bir ağ türüdür. SAN uygulamasında bir depolama ünitesi herhangi tek bir sunucunun özel malı olmak yerine, depolama birimleri ağdaki sunucu ve diğer depolama ünitelerinin ortak malıdır. Kısacası SAN; sunucuları depolama birimlerine, depolama birimlerini birbirlerine ve sunucuları birbirine bağlamaktadır. Şekilde temel bir SAN topolojisi görünmektedir.

san1
Okumaya devam et “Storage Area Network”

IPv6 Neighbor Discovery -1

Yeni internet protokolü IPv6, bazı temel IPv4 operasyonel ilkelerini korumanın yanında bunlarda çeşitli değişiklikler yaparak kullanılabilirliklerini arttırmaktadır. Aslına bakılırsa IPv6 ile gelicek yararlı bazı yenilikler aslen IP’de değil, bunu destekleyen protokollerde yapılmıştır. IPv6 Neighbor Discovery protokolü de bunlardan bir tanesidir. IPv4 te ND protokolü bulunmamaktadır.
Neighbor terimi network dünyasında aynı ağda birbiri ile doğrudan haberleşen hostlar veya routerlar için kullanılır. ND protokolü bu cihazların birbirinin varlığından haberdar olup, iletişimin gerçekleşmesini sağlar.
ND protokolü RFC 1970 ile 1996 da tanımlanmıştır, sonrasında 1998 de değiştirilip RFC 2461deki halini almıştır. ND protokolünün en önemli beş işlemi ICMPv6 control mesajları ile yapılmaktadır. IPv4 te ICMPv4 yönetici asistanı gibi çalışırdı, IPv6 için ise bu asistanlığı IGMPv6 ve IPv6 ND protokolü birlikte üstleniyor diyebiliriz.
ICMP IPv6 da IPv4 te çalıştığıyla benzer şekilde çalışır. ICMP paketleri IPv6 da komşuları keşfetme işleminde, MTU discovery, Multicast Listener Discovery (MLD) işlemlerinde görev alır.
IPv6 Neighbor Discovery
IPv6 ND işlemi ICMP mesajlarını ve solicited-node multicast adreslerini kullanarak komşu cihazın mac adresini belirler, erişilebilirliği kontrol eder. Bu işlemler static cache entry yardımı ile yapılabilir, fakat bunu sağlamak için kullanıcı IPv6 adresini, gatewayi, subnet maskesini, mac adreslerini el ile girmesi gerekmektedir. Bu sebeple statik rota girmek çok elverişli değildir.
IPv6 Neighbor Solicitation Message
ICMP paketinin tür alanındaki değerin 135 olması bu mesajın Neighbor Solicitation Message olduğunu belirtir. Bu mesaj bir cihaz aynı yerel ağdaki farklı bir cihazın mac adresini öğrenmek istediği zaman yollanır. Bağlantı kurmak isteyen cihaz kaynak ip adresini kendi IP adresi yapar. Hedef ip adresi iletişim kurulmak istenen IPv6 adresine karşılık gelen solicited-node multicast adresidir.
Solicited-Node Multicast Addresses hesaplanması hakkında bilgi için diğer bir dökümanımızı kullanabilirsiniz.

52673

Bu mesaj komşu cihaz tarafından alındıktan sonra, komuş tür alanı 136 olan ICMPv6 paketi yollar. Bu mesajda kendi mac adresini belirtir ve cihazlar paket alışverişine başlarlar. Yukarıda mesajların içeriği kısaca görünmektedir.
Neighbor solicitation mesajları ayrıca stateless autoconfiguration işlemi sırasında atanan Ipv6 adresinin başkası tarafından kullanılmadığını doğrulamak için kullanılır. Bu işlem interface yeni yeni IP atanmadan yapılır. Yapılan iş aslında çok basittir; belirlenen IPv6 adresinin kullanılıp kullanılmadığını öğrenmek için host neighbour solicitation mesajını source ip adresi belirli olmayan bir paket ile yollar, pakete mac adresini koyar ve hedef IP ye yollar eğer bu mesaja bir cevap alırsa IP adresinin kullanıldığını anlar. Yollanan mesaja cevap dönen olmazsa interface’e bu IP atanır.

Personal Area Network Teknolojileri

PAN (Personal Area Network )

Teknolojinin ilerlemesiyle birlikte, elektronik cihazlar daha küçük boyutlarda, daha ucuza ve daha az enerjiyle çalışacak şekilde imal edilebilmektedir. Bu sayede, günlük yaşamda, kişiler üzerlerinde birden fazla sayıda cihaz taşımakta, iletişimde ve bilgi taşımada büyük kolaylıklara sahip olmaktadır. İletişim teknolojisinin ilerlemesiyle literatüre giren bir kelime olan “Personal Area Network”, yaklaşık 10 metrelik bir alanı kapsayan, kişisel alan kavramıyla kastedilen cihazların birbirlerine bağlanmasıyla oluşturulan ağı tanımlamaktadır. Örneğin; üzerinde saat, çağrı cihazı, cep telefonu, pda, mp3 player ve dizüstü bilgisayar gibi cihazlar taşıyan bir kişi, 5 adet ekran, 3 adet klavye ve 4 adet iletişim cihazı taşıyor demektir. Bu cihazlar arasında uygun bir veri paylaşım ağı kurulduğunda basit anlamda bir PAN kurulmuş olur.

Okumaya devam et “Personal Area Network Teknolojileri”

NAP

Ağ Erişim Koruması (Network Access Protection)

NAP (Network Access Protection), Windows Server 2008 ve Windows Vista ile birlikte gelen olan bir ağ güvenliği uygulamasıdır. Aslında NAP bir güvenlik teknolojisinden çok bir kontrol mekanizmasıdır. Yaptığı kontrollerin sonucunda da dolaylı yoldan güvenlik konusunda yardım sağlamaktadır. Sistem ağa bağlanan bilgisayarların durumlarına göre erişim izni verip vermemeye karar vermektedir. İzin belirlenen kurallar çerçevesinde kararlaştırılmaktadır, kurallara uygun olmayan istemcilere ise yardımcı olup çözümler üretmektedir.
NAP ağa dahil olacak bilgisayarları kontrol ederken kullandığı bazı kriterler şunlardır: