Linux Tarafından Desteklenen Protokoller #2

Diğer Servisler ve Teknolojiler

Protokollere değindikten sonra bir de Linux tarafından desteklenen bazı servislere değinelim. IPv6 IPv6, şu anda kullanılmakta olan internet protokolüne bir alternatif olarak geliştirilmiş, yeni ve güvenli bir protokoldür. Bildiğiniz gibi IPv4 yalnızca 32 bit adresleme yeteneğine sahiptir. Yakın gelecekte IPv4’ün internetteki adreslere yetmeyeceği aşikar olduğu için, 128 bit adresleme yapabilen ve “IP Next Generation” olarak da bilinen IPv6 geliştirilmiştir. Bu sayede IP sıkıntısının da tamamen çözüleceği düşünülüyor. IPv6’nın getirdiği bazı yeniliklere göz atacak olursak,

  • Güvenlik: IPv4 protokolüne sonradan eklenen güvenlik arttırıcı şifreleme (IPsec) ve kimlik denetimi (authentication) gibi özellikler IPv6 ile öntanımlı olarak gelmektedir.
  • Ölçeklenebilirlik: Üstte de bahsettiğim gibi, IPv4’de kullanılan 32 bit adresleme aralığı IPv6 ile 128 bite çıkmaktadır.
  • Otomatik Yapılandırma: IPv6 protokolü ile gelen otomatik yapılandırma özellikleri ile birlikte son kullanıcının ağa dahil olması için fazladan bir ayar yapmasına gerekkalmayacaktır.
  • Servis Kalitesi: IPv6 ile gelen servis kalitesi sayesinde, IP paketlerini önceliklendirme daha hızlı yapılabildiği için anlık trafiğin (görüntü, ses) kesintiye uğrama olasılığı daha da azalmıştır.
  • Hareketlilik: IPv4 ile mümkün olmayan aynı IP adresi ile farklı ağlara bağlanabilme özelliği IPv6 ile mümkündür.
  • Adresleme ve Yönlendirme: IPv6 adres yapısı ile yönlendirme tablolarındaki ağ adresi sayısı azalacağı için yönlendirme işlemleri daha rahat bir şekilde yapılabilecektir.

IPv6 protokolü 2000’li yıllarda IP sıkıntısının başgöstereceğine ilişkin yorumların da etkisiyle büyük ilgi görmüş, ancak NAT teknolojisinin yaygın bir şekilde kullanılmasıyla günümüzde eski önemini yitirmiştir. NAT sayesinde kurumlardaki bilgisayarların tamamına gerçek IP verilmesi zorunluluğu ortadan kalkmıştır.

Bootp

Diski veya disk sürücüsü bulunmayan bilgisayarların, ağa bağlı ve ağdaki diğer tüm bilgisayarlar gibi yetenekli olmasını sağlayan protokoldür. Bu tarz bir işlemi gerçekleştirebilmek için ihtiyacımız olan bir Linux sunucu bilgisayar ve EPROM yakıcı cihazdır. Bu işlemi bootp prootokolü yardımıyla Linux sunucu bilgisayarın diskini kullandırarak yapabiliriz. Temel olarak bootp protokolünün çalışma şekli şöyle özetlenebilir. Disksiz olarak açılan bilgisayari IP numarasını sunucu bilgisayardan bootp protokolü yardımıyla ve çalıştırılması gereken çekirdeğini tftp protokolü yardımıyla alır. Buradan tek  zorunluluk sunucu bilgisayar ile disksiz bilgisayarın aynı ağ üzerinde bulunması zorunluluğudur. Bir diğer seçeneğimiz ise, disket yardımıyla ağ üzerinden kurulum bilgilerinin alınmasıdır. Bu durumda ethernet kartındaki EPROM’un yakılması zorunluluğu da ortadan kalkar. Her iki seçenekte de, internetten indireceğiniz EPROM veya disket görüntülerinikullanmalısınız. Bu tarz sistemler disk ile yapacakları her işlemi ağ üzerinde gerçekleştirdikleri için ağı çok fazla yükleyebilirler. Bu nedenle aynı ağ üzerinde 25’den fazla disksiz bilgisayarın kullanılması verimi düşürür. En iyi ve sağlam çözüm mecbur kalmadıkça bootp protokolüne muhtaç kalmamaktır 🙂

Netfilter Güvenlik Duvarı

Bilgisayar ağını dışarıdan gelebilecek tehlikelere karşı korumak amacıyla hazırlanmış bir yazılımdır. Genelde bu amaç için kullanılsa da ağın yapılandırılımasını kolaylaştırıcı etkileri de vardır. Örneğin, kullanıcıların haberi olmadan her birinin internet bağlantılarını yerel ağ üzerindeki vekil sunucuya (proxy) yönlendirebilirsiniz. Veya yerel ağ üzerinde sizin denetlediğinizden farklı bir e-posta sunucusu olmasını istemiyor olabilirsiniz. Bu durumda yerel ağa gelen tüm 25.port isteklerini sizin daha önceden e-posta sunucusu olarak ayarladığınız bir bilgisayara yönlendirebilirsiniz. Güvenlik duvarının bulunduğu bilgisayar üzerinde de bazı önlemler almak gerekmektedir. Genel olarak kabul gören yöntem kullanıcıların bu bilgisayara erişmesini engellemektir.

DHCP (Dynamic Host Configuration Protocol)

DHCP sayesinde herhangi bir bilgisayar, kendi ağ bilgilerini uzaktaki bir DHCP sunucusundan alabilir. Ağ yönetimini kolaylaştırdığı için DHCP büyük sistemlerde ve değişken donanımların yoğun olarak kullanıldığı yerlerde gittikçe yaygınlaşan bir kullanıma sahiptir. Linux’ta DHCP desteği bütün büyük dağıtımlarda kurulum sırasında gelmektedir ve DHCP sadece ethernet ağlar üzerinden desteklenmektedir.

IP Çoğullama

Bir tane ağ arayüzü (ethernet ya da seri bağlantı) kartı için birden fazla IP tanımlanması gereken durumlarda “IP Çoğullama” metodu kullanılır. Bu teknolojiyi genelde İnternet Servis Sağlayıcıları, müşterilen FTP ve WWW sunucularını tek bilgisayar üzerinde toplamak için kullanırlar. Bu sayede tek bir bilgisayara atanmış birden fazla internet adresi ve her birinin ayrı ve birbirinden bağımsız web sayfaları farklı bilgisayarlar üzerindeymiş gibi kullanılabilir. Ancak, tek bir IP üzerinden de farklı sanal IP’lere ihtiyaç duymadan istediğiniz kadar alan adı için servis edinebiliriz.

Sanal Özel Ağlar (VPN)

VPN (Virtual Private Network/Sanal Özel Ağ), internet üzerinden şifreli ve güvenli veri iletişimini sağlamak için düşünülmüş bir teknolojidir. Kiralık hatlar (leased-line) gibi daha güvenli, sağlam çözümlerin yerine VPN’in tercih edilmesinin sebebi, kolay yapılandırma ve maliyettir. Intranet yardımıyla şirketler arası ya da bir şirketin şubeleri arası veri iletişimi güvenli bir şekilde yapılabilir. Bu tür ağlara “Sanal Özel Ağ” adı verilir. Temelde “Remote Access VPN” ve “Site-to-site VPN” adıverilen iki tip VPN teknolojisi vardır. Amacımıza göre bu iki VPN teknolojisinden birini seçebiliriz. Remote Access olarak adlandırılan VPN türü, firmaların gezgin çalışanlarının firma ağına heryerden güvenli olaran bağlanabilmelerini ya da bir şirketin farklı lokasyonlarına bağlabilmeyi sağlamak için kullanılır. Site-to-site VPN ise genellikle farklı firmaların birbiriyle VPN aracılığı ile güvenli iletişim kurmaları için düşünülmüştür. Aynı zamanda firmanın farklı kolasyonlardaki şubelerinin merkeze bağlanmasını da sağlar. Remote Access’den temel farkı VPN işlemini gören iki uçta da VPN sunucusu bulunmasıdır.

Sanal Özel Ağların Çalışma Prensipleri: Sanal özel ağ (VPN), komşu ağlar arasında gizli ve özel bir bilgi akışını sağlamaya yönelik kurulur. Paketler internet üzerinden gitse dahi, daha önce de anlattığım tünelleme ve kullanılan güvenlik yazılımları sayesinde ağ dinlense bile şifrelenmiş paketlere saldıran kişiye elde ettiği bilgiler hiçbir anlam ifade etmeyecektir. Buradan, büyük şirketlerin kendi aralarında internetten faydalanmaksızın, özel ağ kurmalarının çoğu yerde gereksiz olduğunu düşünebilirsiniz. Ama bu sayede firma bilgilerinin internet yoluyla taşınması daha ucuza gelecek ve çalışanlar da internetin sunduğu olanaklardan yararlanabileceklerdir. Elimizde iki VPN ağ olduğunu farzedelim. A ağndan B ağına paket göndermek isteyen kullanıcının tek yapması gereken, ağın VPN olup olmadığına bakmaksızın elindeki paketi göndermesidir. Zira VPN ağların çalışması tamamen ağ üzerindeki kullanıcılardan bağımsız ve şeffaftır. Her paket, yerel ağ üzerindeki VPN sunucuya gelir. Bu sunucu, paketin internet üzerindeki herhangi bir noktaya mı yoksa B ağına mı gitmesi gerektiğine karar verir. Bunu da paket üzerindeki IP adresine bakarak anlar. Eğer paket VPN sunucunun veritabanında kayıtlı bulunan farklı bir VPN ağına gitmek üzere yollanmışsa, VPN’in içinde bulundurduğu bir yazılım devreye girer ve paketi şifreler. Hemen ardından VPN sunucu, şifrelenmemiş paketi alarak bunu bir IP paketiyle sarar. Bu IP paketi VPN’den gönderilen paketin nereye geldiği ve nereye gideceği gibi verileri içerir. Paket buradan en yakın yönlendiriciye, yönlendiriciden de VPN’e ulaşmak üzere internete gönderilir. B ağındaki VPN sunucusubu paketi alır, sarmalayan IP zarfını ve parolayı açar. Şimdi paketin gönderildiği zamanki halini almıştır. Sunucu paketi kendi ağında gitmesi gereken yere iletir. Böylece aktarım tamamlanmış olur.

Bir Cevap Yazın