Yapay zekadan makale özeti
- Kısa
- Ayrıntılı
- Bu video, bir eğitmen tarafından sunulan ağ güvenlik ve NAT (Network Address Translation) konularını içeren kapsamlı bir eğitim içeriğidir. Eğitmen, çeşitli ağ cihazlarında (Fireball, CyberROM, Cyberoam) pratik uygulamalar yaparak konuları anlatmaktadır.
- Video, NAT'in temel kavramlarını, IPv4 yetersizliği nedeniyle önemi, source ve destination NAT'ın nasıl yapılandırıldığı, IP maskeleme, not polisi kullanımı, port yönlendirme ve loopback kuralları gibi konuları ele almaktadır. Ayrıca, farklı ağ bölgeleri (misafir, sahib, laboratuvar) arasındaki trafiği yönlendirmek için NAT kurallarının nasıl oluşturulacağı ve load balancing teknikleri (round robin, first alive, random ve stick ip) adım adım gösterilmektedir.
- Eğitim içeriği, kamera erişimi, mail sunucusu ve web sunucusu gibi pratik uygulamalar üzerinden NAT kurallarının nasıl oluşturulacağını ve test edileceğini göstermektedir. Video, farklı ağ bölgeleri arasındaki iletişim kurallarını, refleksif kuralların önemini ve çift yönlü iletişimlerdeki kurulum detaylarını içermektedir.
- NAT Nedir ve Nasıl Çalışır
- NAT (Network Address Translation), ağ adreslerinin (IP adresleri) bir ağdan diğerine geçerken değiştirilmesi işlemidir.
- Bu işlem router özelliği olan cihazlar (firewall veya layer 3 switch) tarafından yapılır.
- NAT işlemi iki şekilde yapılır: source NAT (kaynak IP adresinin değiştirilmesi) ve destination NAT (hedef IP adresinin değiştirilmesi).
- 01:49NAT'ın Neden Kullanıldığı
- NAT, özel (private) IP adreslerinin internet üzerinden kullanılamaması sorununu çözer.
- Özel IP adresleri (örneğin 192.168.x.x) ISP tarafından geçiş izni almayarak kesilir ve yanıt paketleri bu adreslere ulaşamaz.
- IPv4'in yetersizliği nedeniyle NAT mekanizması, IPv6'ya geçiş yapılmadan ağ iletişiminin devam etmesini sağlar.
- 06:31Özel ve Genel IP Aralıkları
- Özel IP aralıkları: 10.x.x.x, 172.16.x.x - 172.31.x.x, 192.168.x.x.
- 172.32.x.x ve üzeri genel (public) IP adresleridir ve internet üzerinden kullanılabilir.
- Özel IP aralıklarında 172.50 gibi genel IP'ler kullanılsa bile, o IP'ye sahip internet sunucularına erişim kaybedilir.
- 08:18Cyberoam'da NAT Uygulaması
- Cyberoam firewall'da A portu LAN, B ve D portları internet bağlantı noktalarıdır.
- LAN tarafında 172.16.70.x özel IP aralığı, internet bağlantı noktalarında ise 98.87.76.65 gibi genel IP adresleri bulunmaktadır.
- Source NAT işlemi, trafik A portundan B veya D portuna geçerken kaynak IP adresinin değiştirilmesiyle gerçekleştirilir.
- 13:42Mask'ın İşlevi ve Paket İzleme
- Mask kullanıldığında, paket A portundan gelse de D portundan çıkarken farklı bir IP (45) ile notlanıyor.
- 45 ile başlayan IP, network ve interface kısmında deadport üzerindeki ilk IP'dir.
- Paket izleme konusu ilk webinar'da bahsedilmiş, YouTube'da "tcp damp cyberrom medium" araması yapılarak bulunabilir.
- 14:58Özel IP ile Trafik Atlaması
- Mask kullanmadan farklı bir IP ile trafik atlamak için not polisi kullanılabilir.
- Farwl'da rule ve not polisi kısmında istenen IP tanımlanabilir.
- Oluşturulan not polisi ile trafiğin farklı bir IP ile atlayabilmesi sağlanabilir.
- 17:24Özel IP Kullanımı ve Sonuçları
- Farklı bir IP (45.224) ile ping atıldığında, trafik 172.16.70.20'den 45.224'e gitmek üzere 18 nolu porta gidiyor.
- Sistemde tanımlanmayan bir IP (5.5.5.5) ile de trafik atlanabilir, ancak dönüş paketi gelmez.
- Bu yöntem genellikle DoS saldırılarında kullanılarak, saldırı yapanın kaynak tüketimini azaltabilir.
- 21:43Not Polisinin Kullanım Alanları
- Source not, mask ve özel not polisi oluşturulup trafiğin özel bir IP ile atlanması gösterildi.
- Not polisi genellikle dışarıda bir banka ile iletişim kurulurken, bankanın tanıdığı özel bir IP ile trafiğin atlanması için kullanılır.
- 22:24Port Yönlendirme ve Virtual Host Oluşturma
- Port yönlendirme, iç ağdaki bir kaynağın dışarıya açılmasını sağlayan bir yöntemdir.
- İç ağdaki bir kameranın 172.16.70.25 IP'sine dışarıdan bağlantı için 98.65.535 IP'sinden gelen istekleri yönlendirmek için virtual host oluşturulur.
- Virtual host oluştururken, dış IP ve içerideki makinenin IP'si, ayrıca makinenin bulunduğu zone bilgisi tanımlanır.
- 25:16Güvenlik ve Performans Açıklamaları
- Tüm portları açmak güvenlik açığı oluşturabilir ve performans açısından mantıklı değildir.
- Enable port forwarding seçeneği ile sadece gerekli portlar açılabilir.
- Port yönlendirme sırasında port değiştirme veya PAT (Port Address Translation) işlemi de yapılabilir.
- 26:48Firewall Kuralları ve Loopback Kuralı
- Port yönlendirme için sadece virtual host oluşturmak yeterli değildir, firewall kuralı da yazılmalıdır.
- İç ağdaki bir makine, dış IP ile kameraya bağlanmak istediğinde firewall tarafından engellenir.
- CyberSense, dışarıdan izin verilen trafiğin içeriden de geçmesi için otomatik olarak loopback kuralı oluşturur.
- 31:18Source IP Değiştirme İşlemi
- CyberSense, gelen paketin source IP'sini kendi IP'siyle değiştirir.
- Bu işlem, asimetrik routing sorununu önlemek için yapılır, aksi takdirde firewall trafiği keser.
- İçten dışa giden trafikte source IP değiştirilmez, böylece kamera loglarında gerçek IP bilgisi görünür.
- 33:25Misafir Zonu ve Virtual Host Kuralı
- Misafir zonu farklı bir bacağına bağlı olarak konfigüre edilmiş ve burç host üzerinden kamera ile iletişim kurmak için kural oluşturuluyor.
- Misafirden gelen trafik için virtual host seçimi yapılıyor, böylece 98'li IPC ile kameraya ulaşılabilir.
- Kural oluşturulduğunda servis otomatik olarak pasif hale getiriliyor çünkü sadece 80'e izin verilmesi gerekiyor.
- 35:30Mail Port Yönlendirmesi
- Mail için çift yönlü iletişim var; dışarıdan gelen mail 66'lı IP'ye, içeriden dışarıya giden mail ise 65'li IP ile gönderilmelidir.
- İçeriden dışarıya çıkan trafiği de ilgili IP ile atlamak gerekir, aksi takdirde mail sunucusu blacklist olabilir.
- Mail sunucusu için virtual host kuralları oluşturulurken, hangi zoneda (LAN), hangi portlarda (25, 110, 587, 143) kullanılabileceği belirlenir.
- 39:05Refleks Kuralı ve Web Server Yapılandırması
- Refleks kuralı, çift yönlü iletişimlerde içeriden dışarıya giden trafikte aynı IP ile atlamayı otomatik olarak sağlar.
- Web server'lar için 67'li IP kullanılacak ve iki web server load balance için aynı domain (lityum.com) üzerinden çalışacak.
- İlk istekte NAT işlemi gerçekleştirilecek ve 18'li IP iletilmesi gerekiyor.
- 41:10Load Balancing Özellikleri
- Load balancing, bir sonraki paket geldiğinde sunucular arasında atlamayı sağlar ve performanslı bir servis sunmayı hedefler.
- Round Robin, ilk isteği bir sunucuya, ikinci isteği diğer sunucuya sırayla yönlendirir.
- First Life, ilk up olan sunucuya tüm istekleri iletir, Random ise rastgele yönlendirir.
- 42:22Stick IP ve Virtual Host Oluşturma
- Stick IP (yapışkan IP), bir kullanıcı ilk bağlandığında hangi sunucuya yönlendirilirse, sonraki bağlantılarında da aynı sunucuya yönlendirilir.
- Virtual host oluşturmak için "Host" seçeneğine tıklanır ve "Web Servers" seçilir.
- İki web sunucusu için liste şeklinde IP'ler (172.16.78.12, 172.16.79.12) eklenir.
- 43:47Firewall ve Load Balancing Yapılandırması
- Firewall'da web sunucuları için dış IP 67 kullanılır, 65 kullanılamaz çünkü 80 portu kameraya yönlendirilmiştir.
- Load balancing yapılandırması için "Advanced Settings" kısmında round robin, first life, random veya stick IP seçenekleri bulunur.
- Round robin, random ve stick IP aktif-aktif yük paylaşımı sağlarken, first life aktif-pasif mod kullanır.
- 45:34Sunucu Denetimi ve Refleks Kuralı
- Sunucuların ayakta olup olmadığı için ICMP ping veya TCP denetimi yapılabilir.
- Sunucular 60 saniyede bir denetlenir ve iki sefer başarısız olursa down edilir.
- Refleks kuralı, çift yönlü iletişimlerde (mail server, VoIP sunucuları, video konferans) gerekir, ancak web sunucusu için tek yönlü iletişim olduğu için gerekli değildir.
- 48:29Kapanış ve Özet
- Source kısmında mask ve napoliten (IP atlaması) konuları ele alınmıştır.
- Destination kısmında otomatik kural ve loop kuralı açıklanmıştır.
- Load balancing dışarıdan içeriye gelen ve katlanan trafik için kullanılır, içeriden dışarıya çıkan trafik için değildir.