ULAŞTIRMA, DENİZCİLİK VE HABERLEŞME BAKANLIĞI LİMAN BAŞKANLIKLARININ MERKEZ TEŞKİLATA ENTEGRASYONU

Transkript

1 T.C. ULAŞTIRMA, DENİZCİLİK VE HABERLEŞME BAKANLIĞI ULAŞTIRMA, DENİZCİLİK VE HABERLEŞME BAKANLIĞI LİMAN BAŞKANLIKLARININ MERKEZ TEŞKİLATA ENTEGRASYONU DENİZCİLİK UZMANLIK TEZİ Ali Rıza EKİCİ, Denizcilik Uzman Yardımcısı BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI Kasım 2014

2 T.C. ULAŞTIRMA, DENİZCİLİK VE HABERLEŞME BAKANLIĞI ULAŞTIRMA, DENİZCİLİK VE HABERLEŞME BAKANLIĞI LİMAN BAŞKANLIKLARININ MERKEZ TEŞKİLATA ENTEGRASYONU DENİZCİLİK UZMANLIK TEZİ Ali Rıza EKİCİ, Denizcilik Uzman Yardımcısı BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI Danışman Alper SINAV Bilgi İşlem Dairesi Başkanı Kasım 2014

3 Görev Yaptığı Birim: Bilgi İşlem Dairesi Başkanlığı Tezin Teslim Edildiği Birim: Personel ve Eğitim Dairesi Başkanlığı T.C. ULAŞTIRMA, DENİZCİLİK VE HABERLEŞME BAKANLIĞI Ali Rıza EKİCİ tarafından hazırlanmış ve sunulmuş Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Liman Başkanlıklarının Merkez Teşkilata Entegrasyonu başlıklı tez Bakanlığımız Sınav Kurulu tarafından kabul edilmiştir. Tez Danışmanı Alper SINAV... Kurul Başkanı Adı-Soyadı-İmza... Kurul Üyesi Adı-Soyadı-İmza... Kurul Üyesi Adı-Soyadı-İmza... Kurul Üyesi Adı-Soyadı-İmza... Kurul Üyesi Adı-Soyadı-İmza

4 ...

5 İçindekiler ÖNSÖZ... i ÖZET... ii ABSTRACT...iii ŞEKİL LİSTESİ... iv TABLO LİSTESİ... vi RESİM LİSTESİ... vi SİMGE VE KISALTMALAR CETVELİ... vii EK LİSTESİ... ix 1- GİRİŞ NETWORK NEDİR? Neden Network e Gereksinim Duyulur? Network Nasıl Çalışır? Network Topolojileri Yıldız Yapı Yıldız Networkün Avantajları Yıldız Networkün Dezavantajları Bus Yapı Bus Yapının Avantajları Bus Yapı nın Dezavantajları Network Ekipmanlar Network Adaptör Kartlar: Hub: Bridge: Switch: Repeater: Router: Büyüklüklerine Göre Ağlar LAN (Local Area Network) Yerel A l a n Ağı: WAN (Wide Area Network) Geniş Alan Ağı: MAN (Metropolitan Area Network) Metropol Alan Ağı: OSI Referans Modeli Application Layer (Uygulama Katmanı):... 11

6 2.6.2-Presentation Layer (Sunuş Katmanı): Session Layer (Oturum Katmanı): Transport Layer (İletişim Katmanı): Network Layer (Ağ Katmanı) : Data Link Layer (Veri Bağı Katmanı) : Physical Layer (Fiziksel Katman): TCP/IP Protokolü TCP/IP Protokol Yapısı TCP/IP ile OSI Arasındaki Farklar VPN (VIRTUAL PRIVATE NETWORK) VPN Tipleri Uzaktan Erişimli VPN İntranet Vpn Extranet VPN VPN Bileşenleri VPN Donanım Bileşenleri VPN Yazılım Bileşenleri Güvenlik Firewall Network Adresi Dönüştürme (NAT) AAA VPN Güvenliği Kimlik Doğrulama ve Erişim Erişim Kontrolü Veri Şifrelenmesi Simetrik Kripto Sistemler Asimetrik Kripto Sistem Public Anahtar Yapısı Tünelleme Tekniği Tüneller Ne Yapar Tünellemenin Avantajları Tünelleme Tekniğinin Bileşenleri Tünellenmiş Paket Formatı Tünel Tipleri Tünelleme Protokolleri Point To Point Protokol (PPP)... 47

7 3.7.2-Point To Point Tünelleme Protokolü (PPTP) L2F (Layer-2 Forwarding) Protokolü L2TP (Layer-2 Tunneling Protocol) IPSec (İnternet Protocol Security) Protokolü Tünelleme Protokollerin Karşılaştırılması Güvenlik Açısından VPN Tipleri Router - Router VPN Firewall-Firewall VPN İstemci Tabanlı VPN Doğrudan VPN VİDEO KONFERANS Video Konferans Nedir Video Konferans Sistemlerinin Temel Bileşenleri Video Konferans Ünitesi Çok Servisli Yönlendirici Santral Üniteleri Çoklu Konferans Üniteleri Geçit Yolları Protokoller ve Standartlar Video Konferans İletiminde Görüntü ve Ses Kalitesi Servis Kalitesi Ayarları Kullanılan Bant Genişliği Kullanılan Sıkıştırma Algoritması Görüntü Boyutu Saniyedeki Kare Sayısı Yankının Engellenmesi ve Mikrofon Kalitesi Ses ve Görüntünün Eşzamanlı İletimi Teknoloji Seçimi Sisteme Ait Donanımların Belirlenmesi Ağ ve Sistem Yönetimi Eğitim GTYS (GEMİ TRAFİK YÖNETİM SİSTEMİ) SONUÇ VE ÖNERİLER KAYNAKLAR EKLER ÖZGEÇMİŞ

8

9 ÖNSÖZ Günümüzde bilişim teknolojileri etkisini birçok alanda göstererek ilerlemeye devam etmektedir. Birçok alanda olduğu gibi denizcilik alanında da pek çok hizmet elektronik ortamda verilmektedir. Hizmet ve bilgi ihtiyacı hızlı ve doğru bir şekilde karşılanmalıdır. Bu sebeple bilgisayar sistemlerinin ve bilgisayar ağının güvenliğinin sağlanması gerekir. Bu çalışmada liman başkanlıklarının güvenli bir şekilde merkeze entegrasyonu anlatılmış olup domain sisteminin faydaları hakkında bilgiler verilmektedir. Tez çalışmam süresince değerli katkılarıyla beni yönlendiren Bilgi İşlem Şube Müdürleri Asuman KUTLUATA ya ve Nejdet GÖKKAYA ya mesai arkadaşlarım Mesut KARACA ya, Mehmet AYCAN a, Oktay DOĞAN a ve Recep GÖRMÜŞ e araştırmalarım boyunca her türlü konuda sorularıma yanıt veren Özgür GÖRENER e ayrıca tüm sıkıntılarımda desteğini esirgemeyen Daire Başkanım Sayın Alper SINAV Bey e teşekkür ederim. Ayrıca bu süreç boyunca ilgisini benden eksik etmeyen eşime ve aileme teşekkürlerimi bir borç bilirim. i

10 ÖZET ULAŞTIRMA, DENİZCİLİK VE HABERLEŞME BAKANLIĞI LİMAN BAŞKANLIKLARININ MERKEZ TEŞKİLATA ENTEGRASYONU Hazırlayan: Ali Rıza EKİCİ Bu çalışmada Network sistemleri, OSI referans katmanları, VPN yapısı ve Video Konferans Sistemleri anlatılarak Denizcilik Bilgi İşlem sistemlerinin Liman Başkanlıklarıyla daha uyumlu çalışmasını ve hızlı çözümler üretilmesini sağlamak amacıyla merkezi yönetime geçilmesi amaçlanmıştır. Bu kapsamda Liman Başkanlıklarında oluşan donanımsal sıkıntılar, sistemlere erişim sağlayamama ve internet kesintilerinin önüne geçilmesi amaçlanmıştır. Hızlı gelişen bilişim sektöründe Liman Başkanlıklarımız da üretilmiş olan verilerin iletişim esnasındaki güvenliğini üst düzeye çıkarılarak sağlıklı ve güvenli veri paylaşımı yapılması planlanmıştır. Video Konferans Sistemleriyle de taşradaki personelimizin eğitim ve bilgilendirme programları yerinde ve hızlı bir şekilde yürütülerek zaman ve para tasarrufu sağlanması planlanmıştır. ii

11 ABSTRACT INTEGRATION OF HEAD MASTER OFFICES OF THE MINISTRY OF TRANSPORT, MARITIME AFFAİRS AND COMMUNICATIONS TO THE CENTRAL ORGANIZATION Prepared by: Ali Rıza EKİCİ This study aims to clarify Network systems, OSI reference layers, VPN structure and Videoconference systems and to employ centralized management with a view to ensuring operation of Maritime Data Processing systems in harmony with the head masters offices and generation of quick solutions. In this framework, it is aimed to eliminate hardware problems, failures in accessing systems and internet outage in the head masters offices. In rapidly developing information sector, it is planned to ensure sound and secure data exchange by enhancing the communication security for data produced by the head masters offices. It is also projected to save time and money by means of conducting training and briefing programmes on site for the field personnel via videoconference systems. iii

12 ŞEKİL LİSTESİ Şekil 1:Yıldız topoloji yapısı... 4 Şekil 2: Bus topoloji yapısı... 4 Şekil 3: OSI model yapısı Şekil 4: TCP/IP Protokolü Yapısı Şekil 5: VPN olmadığı durumda tipik bir uzaktan erişim yapısı Şekil 6: Uzaktan Erişimli VPN Yapısı Şekil 7: WAN omurgası kullanan intranet yapısı (VPN olmadan) Şekil 8: VPN çözümlü intranet bağlantısı Şekil 9: Extranet yapısı (VPN olmadan) Şekil 10: Extranet VPN yapısı Şekil 11: VPN bağlantı tipleri Şekil 12: VPN çözümünde kullanılan bileşenler Şekil 13: VPN istemci profilleri Şekil 14: İntranet ve internet arasındaki firewall Şekil 15: NAT yapısı Şekil 16: RAS Sunucu Şekil 17: VPN-AAA Yapısı Şekil 18: VPN senaryosunda kimlik doğrulama Şekil 19: Şifreleme modeli Şekil 20: Simetrik kripto tekniği Şekil 21: Diffie-Hellman algoritması Şekil 22: RSA algoritma mantığı Şekil 23: PKI tabanlı iletim Şekil 24: Basitçe bir VPN tünel Şekil 25: Tünelleme tekniği Şekil 26: Tüneller içinden 2 fazda data iletimi Şekil 27: Tünellenmiş paketin yapısı Şekil 28: İsteğe bağlı olarak oluşturulan tünel yapısı Şekil 29: Sunucular tarafından oluşturulan tüneller Şekil 30: Tünelleme protokolünü kullanan tünellenmiş paketler Şekil 31: PPP bağlantının kurulması Şekil 32: PPP frame in formatı Şekil 33: PPTP paketin yapısı iv

13 Şekil 34: PPP işlemleri Şekil 35: PPTP tünel ve PPTP bileşenleri Şekil 36: PPTP paketlerinin karşı networke iletimi Şekil 37: PPP bağlantı üzerinden PPTP kontrolünün yapılması Şekil 38: PPTP veri tünelleme işlemi Şekil 39: Tünellenmiş paketin orijinal pakete dönüştürülmesi Şekil 40: ISP POP noktası ile gateway arasındaki L2F tünel Şekil 41: İstemci ve sunucu arasında L2F tünelin kurulması Şekil 42: L2F tünelleme işlemi Şekil 43: L2F paket formatı Şekil 44: L2TP mesajın yapısı Şekil 45: ESP ile şifrelenmiş bir L2TP paketin yapısı Şekil 46: IPSec mimarisi Şekil 47: IPSec iletim modu Şekil 48: IPSec tünel modu Şekil 49: Pakete AH uygulanması Şekil 50: Pakete ESP uygulanması Şekil 51: On-demand VPN yapısı Şekil 52: Çoklu protokol/on-demand tünelli VPN yapısı Şekil 53: Şifreli oturumlu On-demand VPN yapısı Şekil 54: On-demand/Firewall VPN yapısı Şekil 55: Çoklu protokol/on-demand VPN Şekil 56: İstemci-Firewall VPN yapısı Şekil 57: İstemci-sunucu VPN Şekil 58: Doğrudan VPN yapısı Şekil 59: GTYS Yapısı v

14 TABLO LİSTESİ Tablo 1: Mesafe Tablosu... 9 Tablo 2: İstemci - Sunucu Tünel Farkları Tablo 3: IPSec Servisleri Tablo 4: Video Konferans Sistemlerinde Kullanılan Başlıca Standartlar Tablo 5: Video Konferans İletiminin ITU Şemsiyesi Altındaki Standartları Tablo 6: İzmit GTHM ve TGİ Yerleri Tablo 7: İzmir GTHM ve TGİ Yerleri Tablo 8: Mersin GTHM ve TGİ Yerleri Tablo 9: Liman Başkanlıklarının Mevcut ve Planlanan Bağlantı Hızları RESİM LİSTESİ Resim 1: Network Kartı... 5 Resim 2: Hub... 6 Resim 3: Bridge... 6 Resim 4: Switch... 7 Resim 5: Repeater... 7 Resim 6: Router... 8 Resim 7: Yalova Liman Başkanlığı İçin İzlenebilir TGİ'ler Resim 8: İzmit GTHM ve TGİ Yerleri ve İşlevleri Resim 9: İzmir GTHM ve TGİ Yerleri ve İşlevleri Resim 10: Mersin GTHM ve TGİ Yerleri ve İşlevleri Resim 11: Cyberoam Uyarı Mesajı Resim 12: CheckPoint Uyarı Mesajı vi

15 SİMGE VE KISALTMALAR CETVELİ AAA: Authentication Authorization Accounting ADSL: Asymmetric Digital Subscriber Line ATM: Asynchronous Transfer Mode DES: Data Encryption Standard 3DES: Triple Data Encryption Standard DMZ: Demilitarized Zone DNS: Domain Name System ESP: Encapsulating Security Payload FDDI: Fiber Distributed Data Interface FTP: File Transfer Protokol IKE: Internet Key Exchange IP: Internet Protokol IPSEC: Internet Protokol Security ISDN: Integrated Services Digital Network ISO: International Organization for Standardization ISP: Internet Service Provider ITU: International Telecommunication Union LAN: Local Area Network L2F: Layer 2 Forwarding L2TP: Layer 2 Tunelling Protokol MAN: Metropolitan Area Netwok MCU: Multipoint Control Unit NAS: Network Access Server NAT: Network Address Translation OSI: Open Systems Interconnection PKI: Public Key Infrastructure POP: Point of Presence POTS: Plain Old Telephone Service PPP: Point-to-Point Protokol PPTP: Point-to-Point Tunelling Protokol PSTN: Public Switched Telephone Network QoS: Quality of Service RADIUS: Remote Access Dial-In User Service vii

16 RAS: Remote Access Services RSA: Cryptosystem (Rivest-Shamir-Adleman) SNMP: Simple Network Management Protokol TCP: Transmission Control Protokol UDP: User Datagram Protokol VPN: Virtual Private Network WAN: Wide Area Network viii

17 EK LİSTESİ VPN yapısı için örnek Router yapılandırması Cyberoam tarafından yasaklanan siteler için uyarı mesajı Check Point tarafından yasaklanan siteler için uyarı mesajı 5651 Sayılı Kanun metni UDHB Basit Network şeması ix

18

19 1- GİRİŞ 655 Sayılı Ulaştırma, Denizcilik Ve Haberleşme Bakanlığının Teşkilat Ve Görevleri Hakkında Kanun Hükmünde Kararname nin 1 Kasım 2011 tarih ve sayılı resmi gazetede yayımlanması ile Denizcilik Müsteşarlığı Mülga olmuştur. Geçici Madde 1- (1) Bu Kanun Hükmünde Kararnamenin yayımı tarihinde Ulaştırma Bakanlığı ile Denizcilik Müsteşarlığının merkez ve taşra teşkilatına ait her türlü varlık, taşınır, araç, gereç, malzeme, demirbaş ve taşıtlar, borç ve alacaklar, yazılı ve elektronik ortamdaki kayıtlar ve diğer dokümanlar ile kadro ve pozisyonlarda bulunan personel, hiçbir işleme gerek kalmaksızın Ulaştırma, Denizcilik ve Haberleşme Bakanlığına devredilmiş sayılır. gereğince Mülga Denizcilik Müsteşarlığı Taşra Teşkilatı da Ulaştırma Denizcilik ve Haberleşme Bakanlığı bünyesine katılmıştır. Bakanlığımız Bilgi İşlem birimi 2003 yılından itibaren Bilişim Sistemleri altyapısına yönelik çalışmalar yapmış olup Bakanlığımız iş ve işlemleri (Kurumsal Kaynak Planlama, Elektronik Belge Yönetim Sistemi, Kuruma yönelik özel uygulamalar, iç ve dış portaller, IP telefon Sistemi, Video Konferans Sistemi vb.) elektronik ortama taşınmıştır. Yapılan bu çalışmalar neticesinde Bilgi İşlem Sistem odasına kurulan merkezi sistemler üzerinden web tabanlı olarak hizmetler verilmeye başlanmıştır. Bu kapsamda; Bakanlığımız tüm birimlerinin (merkez ve taşra birimleri) iş ve işlemlerini sağlıklı bir şekilde yürütülebilmesi için Bakanlık Merkezi Bilişim Sistemlerine erişimin güvenli ve sorunsuz bir şekilde sağlanabilmesi amacıyla iletişim altyapılarının (LAN/WAN) kurulması ve iyileştirilmesine yönelik çalışmalar başlatılmıştır. Uzmanlık Tez konum olarak da mevcutta kullanılmakta olan Bakanlığımız taşra teşkilatı iletişim altyapısına yönelik iyileştirme ve kurulum çalışmaları ile 655 sayılı KHK gereği Mülga Denizcilik Müsteşarlığı Liman Başkanlıklarının Bakanlığımız uhdesine dâhil edilmesiyle Liman Başkanlıklarımızın Bakanlığımız iletişim altyapısına dâhil edilmesine yönelik teknolojik gelişmeler göz önünde bulundurularak yapılması gereken ve yapılmakta olan çalışmalar yer almaktadır. 1

20 Ülkemizin kıyı bölgelerinde denizcilik sektörüne hizmet vermek için kurulmuş olan çok sayıda Liman Başkanlıklarımız mevcuttur. Teknolojik olarak ilerleyen ülkemizde Liman Başkanlıklarımız da Bilgi-İşlem merkezimizce hazırlanmış olan uygulamalar ile çalışmalarını internet üzerinden sağlamaktadır. Her biri birbirinden bağımsız olarak internete çıkan Liman Başkanlıklarımız da uygulamalara erişim sıkıntılarına, kendi sistemleri üzerinde işletim sıkıntılarına ve kullanıcı kaynaklı sıkıntılara hızlı çözüm verilemediği gözlemlenmiştir. Bu çalışma ile Liman Başkanlıklarının Merkez sistemlerimize entegrasyonun yapılması ve tüm Bakanlık birimlerimizin tek yapı olarak çalışması amaçlanmıştır. Bu çalışmanın yöntemi olarak Bakanlığımız domain sisteminin eksiksiz çalışması için yapılması gerekenler anlatılacak olup sırasıyla temel network bilgileri, VPN yapısı ve video konferans sistemi anlatılacaktır. En son olarak sonuç kısmında oluşturulacak yapı sayesinde Bakanlığımız Liman Başkanlıklarının entegrasyon ile domain sisteminden istifadelerine değinilecektir. Birinci bölümde, temel network kavramların tanımları yapılacaktır. Bir sistemin kusursuz işleyebilmesi adına network sisteminin donanımlarının neler olması gerektiği basit bir şekilde belirtilecek olup, doğru yapılandırma adına bilinmesi gereken en temel bilgiler açıklanacaktır. İkinci bölümde ise VPN yapısı, işlevi, çeşitleri örnek şekilleri ile çok detaylı bir şekilde anlatılacaktır. Bu çalışmanın ana konusu olan uzak bölgeleri bağlama işlemi VPN sayesinde yapılacak olduğundan tüm çeşitleri anlatılacak olan VPN yapısı ile konunun net bir şekilde kavranması amaçlanmıştır. Üçüncü bölüm olan Video Konferans Sistemi ise yaşanan teknolojik gelişmelerin bir sonucu olarak zamanla olmazsa olmaz bir sistem olduğu için sistemin gerekliliği ve nasıl çalıştığı ayrıntılı bir şekilde anlatılacaktır. Söz konusu video konferans sistemi hali hazırda Bakanlığımız ve Merkez Birimleri, Bağlı, İlgili ve İlişkili Kuruluşlarınca ve Karayolları Genel Müdürlüğün Bölge Müdürlükleri tarafından kullanılmakta olup toplamda 56 adet video konferans cihazının sistem yönetimi tarafımca yapılmaktadır. Son olarak sonuç bölümünde uygulanan VPN yapısının kurulması ile ulastirma.local domain sistemimize Liman Başkanlıklarımızın da dahil edilerek sağlanacak avantajlar olan; 5651 sayılı kanunun yükümlüklerini yerine getirmek, uzaktan kontrol ile hızlı ve doğru çözümler üretmek, IP telefon ve Video konferans sistemleri sayesinde zaman ve para tasarrufunun nasıl sağlanacağı, Bakanlığımız bünyesinde kurulmakta olan Gemi Trafik Yönetim Sisteminde Trafik Gözetleme İstasyonlarınca oluşturulan verilerin emniyet açısından Liman Başkanlıklarınca kullanılabilirliği bu kapsamda Limanların mevcut bağlantı hızları ve planlanan hızları da tablo olarak ayrıntılı bir şekilde anlatılacaktır. 2

21 2-NETWORK NEDİR? Network birbirine kablolarla bağlanmış sunucu, yazıcı, pc, modem gibi birçok haberleşme donanımının en ekonomik ve verimli yoldan kullanılmasıdır. Network insanların bireysel değil, ortak çalışmalarını sağlar. Network, veri, yazılım ve donanım paylaşımıdır. Küçük bir ağ iki bilgisayardan oluşabileceği gibi, büyük bir ağ binlerce bilgisayar, fax-modem, cd-rom sürücü, yazıcı ve bunun gibi donanımlardan oluşabilir. 2.1-Neden Network e Gereksinim Duyulur? Network zaman ve para kazancı sağlar. Başarı için kurumun sadece ofis içinde değil, tüm dünya ile haberleşmesi gerekir. Paylaşım söz konusu olduğundan donanım tüm personel tarafından kullanılabilir, her bir birey için ekstra yazıcı, modem, disk ünitesi gerekmez. İnternet erişimi de bir ağ üzerinde paylaşılabilir. 2.2-Network Nasıl Çalışır? Ethernet en genel networking sistemidir. Ethernet standartlarıyla birlikte gelmiştir. Ethernet ağından gönderilen tüm mesajlar diğer bir donanımın alabileceği standart kodlardan oluşur. İlk olarak XEROX tarafından bulunmuş ve daha sonra DEC, Intel ve XEROX tarafından formülize edilip belirli metotlar kullanıp saniyede 10 Mbit veri transfer edebilen bir sistem olarak ortaya çıkmıştır. 2.3-Network Topolojileri Üç çeşit temel network yapısı vardır. Bunlar yıldız, bus ve ring topolojileridir. Yıldız ve Bus mimari en çok kullanılanlardır Yıldız Yapı Adından da anlaşılabileceği gibi yıldız mimarisindedir. Yani yıldızın merkezinde bir hub veya switch, bunlara bağlı olan tüm noktaları birbirine bağlar (UTP kablo ile). Kablonun bir ucu network adaptör kartına bağlı iken, diğeri hub veya switch e takılıdır. 3

22 Şekil 1:Yıldız topoloji yapısı Yıldız Networkün Avantajları Ekonomik kablolama. Hızlı kurulum. Kolay genişletilebilirlik. Switch veya bridge ile genişletilmesi network performansını artırır. Bağlantıda meydana gelebilecek kopukluk, tüm ağı etkilemez. Hub a yapılan bağlantılar ve hub üzerindeki bağlantıların durumunu gösteren oklar sayesinde durumlar anlaşılır ve arıza tespiti kolaylaşır Yıldız Networkün Dezavantajları Hub ile hub arasındaki bağlantıyı sağlayan kablonun uzunluğu 100m yi geçemez Bus Yapı Bus yapı, omurga yapı olarakta adlandırılır. Ağ üzerindeki tüm kullanıcılar tek bir hat üzerindedir. Veri bu node lardan geçerek istenilen node a ulaşır. Ağ bağlantısı tek bir koaksiyel kablo ile yapılır. Bu kablonun uçlarına BNC denilen konnektörler bağlanır. Şekil 2: Bus topoloji yapısı 4

23 2.3.5-Bus Yapının Avantajları Güvenilir kablo kullanır (koaksiyel kablo). Basit network genişlemesi sağlar. Hub veya benzeri merkezi ağ donanım gerektirmez Bus Yapı nın Dezavantajları Standartlar 30 node tan fazlasına izin vermiyor. Ağın toplam uzunluğu 185m yi geçemez. Herhangi bir node un bağlantısının kesilmesi tüm ağı etkiler. Arıza tesbiti zordur. 2.4-Network Ekipmanlar Network Adaptör Kartlar: Network Adaptör Kartlar (Network Arabirim Kartlar) ağ yapısının temelini oluşturur. Günümüzde bazı bilgisayarlar üzerinde ağ adaptör kartıyla gelir. Eğer bilgisayarınızda böyle bir kart yoksa anakart üzerindeki bir slota, modem veya ses kartı takar gibi kısa sürede takılabilir. Network Arabirim Kartı bilgisayarınızla ağ arasındaki bağlantıyı sağlar. Veriyi Ethernet ağının okuyabileceği ve kabul edeceği formata çevirir. Bu kartlar üzerinde hub veya switch e bağlayabilmeniz için konnektörler bulunur. Network Arabirim Kartları driver (sürücü) dediğimiz üretici firma tarafından yazılan yazılımlarla gelirler. 100/1000 Mbps hızla çalışabilen Ethernet kartları vardır. Resim 1: Network Kartı 5

24 2.4.2-Hub: Hub lar yıldız topoloji ağlarda merkezi bağlantı üniteleridir. Hub kendisine bağlanılan tüm node ların birbirleri ile iletişim kurmalarını sağlar. Hub a bağlanılan her ekipmanın kendi güç kaynağı olduğu gibi hub ında kendi güç kaynağı vardır. Hub üzerinde bulunan durum ışıkları bağlantı durumunu izlememizi ve arıza tespit işlemlerini kolaylaştırır. Birden fazla hub birbirine bağlanabilir fakat Ethernet standartlarında bazı sınırlar vardır. Hub-Hub bağlantılar yerine switch lerden hub lara gidilebilir ve bu durum ağ performansını artırır. Resim 2: Hub Bridge: Köprüler genel anlamda yineleyicilerin yaptığı işi yaparlar. Fakat temel farkları, bir yineleyici kendisine gelen mesajı güçlendirir ve hedefe bakmadan doğrudan yollar, köprüler eğer paket yerine ulaşmayacaksa bu paketi göndermezler. Ayrıca köprüler birbirlerinden farklı ağları birleştirirler ve bunların aralarında konuşmalarını sağlarlar. Resim 3: Bridge 6

25 2.4.4-Switch: Switchler daha karmaşık ve programlanabilen Hub lardır. Büyük bir ağı segmentlere bölerek ağ performansını arttırır. Herhangi bir node dan gelen verinin tüm ağa dağıtılması yerine istenilen node a dağıtılmasını sağlar. Ağ durumunu izler, veriyi gönderip, iletim işleminin yapılıp yapılmadığını kontrol eder. Bu özelliğe store and forward (depola ve ilet) denir. Resim 4: Switch Repeater: Kablolama sistemlerinde belirtilen en büyük uzaklık sınırları aslında kablo üzerindeki bir bilginin etkisini kaybetmeden gidebileceği uzaklığı simgeler. Eğer daha uzun bir kablolama gerekiyorsa bu limitlerde zayıflayan sinyallerin güçlendirilmesi lazımdır. Yineleyiciler sayesinde daha uzak ağları birbirine bağlayabilirsiniz. Günümüzde kullanılan UTP tipi kablolarla yapılan kablolamada Hub lar yineleyici görevi gördüğü için yineleyicilere gerek duyulmamaktadır. Resim 5: Repeater Router: Router lar ağ trafiğini filtre eder ve dosyanın doğru yere gönderilmesini sağlamak için değişik protokolleri birbirine bağlar. Bu filtreleme işleminden dolayı router, switch veya bridge den daha yavaş çalışır. Hub veya switch lerden farklı olarak router lar ağ yönetim 7

26 hizmetleri sunarlar. Filtreleme işleminde verinin içeriği incelenir ve iletilmesi gerekmiyorsa iletilmez. Switch veya bridge de verinin içeriğine bakılmadan iletim işlemi yapılır. Resim 6: Router 2.5- Büyüklüklerine Göre Ağlar LAN (Local Area Network) Yerel Alan Ağı: Yerel Ağ olarak tanımlanan LAN (Local Area Network), aynı yapı içerisindeki sınırlı bir alanda birbirine bağlanmış bilgisayarlardan oluşur. İnternet kafeler yerel ağlara çok güzel bir örnektir. LAN'larda temel amaç, aynı yapı içinde kullanılan bilgisayarların bazı donanımları paylaşmasını, ortak çalışma ortamını sağlayarak zamandan tasarruf edilmesi sayesinde bilginin hızlı bir şekilde işlenmesini sağlamaktır. Örneğin bir odada on bilgisayar olduğunu farz edelim her bir kullanıcının sürekli yazıcı kullanması gerekli. Eğer ağ ortamı yoksa bunu ya hepsine ayrı ayrı yazıcı bağlayarak halledersiniz ya da kim döküman çıkaracaksa o kişi dokümanı kaydedip yazıcının bağlı olduğu bilgisayardan çıkış alarak sorunu halleder. Birinci yöntem çok masraflı, ikincisi ise çalışma performansını düşürecek ve çok zaman kaybına neden olabilecek bir yöntemdir. İşte bu sorun ufak bir ağ kurarak yazıcının kullanım sıklığına bağlı olmak kaydıyla ağa bağlı bir ya da birkaç bilgisayara yazıcı kurup, bu yazıcıları da ağdaki diğer bilgisayarların kullanımı için paylaşıma açılabilinir. Böylece hem maddi yönden tasarruf sağlanır, hem de çalışma performans artar WAN (Wide Area Network) Geniş Alan Ağı: WAN (Wide Area Network), farklı bölgelerdeki yerel ağların (LAN) bağlanması sonucu oluşan bilgisayar ağıdır. WAN'lar çok geniş alanları kapsamaktadır. Şehirlerarası, ülkeler arası ağlardır. Değişik tipteki LAN ların birleşmesiyle oluşurlar. Aralarındaki mesafe LAN olarak bağlanamayacak 8

27 kadar uzaktır. Router denilen ağ cihazları ile bu LAN lar birbirlerine bağlanarak geniş alan ağları WAN ları oluştururlar. WAN sistemi üzerinde on binlerce kullanıcı ve bilgisayar çalışabilir. Uzak ağların en çarpıcı özelliği, tıpkı yerel ağlar gibi kullanılabilmesidir. Ancak WAN'larda kullanıcı sayısı arttıkça bağlantı hızı da düşer, klavyeden yazdıklarınız nispeten daha uzun sürede karşıya geçer. Bu gibi durumlarda daha fazla bant genişliği gereklidir. LAN bağlantıları yerel olduğundan kısa mesafelerde kullanılır ve doğal olarak daha hızlıdır MAN (Metropolitan Area Network) Metropol Alan Ağı: WAN'ların şehir bazında ya da şehirlerarası birleştirilmeleriyle oluşur, fakat günümüzde MAN kavramı kullanılmamakta, yerine WAN terimi tercih edilmektedir. Mesafe Tablosu 10 m Oda 100 m Bina 1 km Fabrika / Kampüs 10 km Şehir 100 km Ülke 1000 km Bölge km Dünya Tablo 1: Mesafe Tablosu 2.6-OSI Referans Modeli Bilgisayarlar arası iletişimin başladığı günden itibaren farklı bilgisayar sistemlerinin birbirleri arasındaki iletişim daima en büyük problemlerden birisi olmuştur. Bu sorunun üstesinden gelebilmek için uzun yıllar boyunca çeşitli çalışmalar yapılmıştır li yılların başında Uluslararası Standart Organizasyonu (International Organization for Standardization - ISO) bilgisayar sistemlerinin birbirleri ile olan iletişiminde ortak bir yapıya ulaşmak yönünde çabaları sonuca bağlamak için bir çalışma başlatmıştır. Bu çalışmalar sonucunda 1984 yılında Açık Sistem Bağlantıları (Open Systems Interconnection - OSI) referans modeli ortaya çıkarılmıştır. Bu model sayesinde değişik bilgisayar firmalarının ürettikleri bilgisayarlar arasındaki iletişimi bir standarda oturtma ve farklı standartlar arası uyumsuzluk sebebi ile ortaya çıkan iletişim sorununu ortadan kaldırmak hedeflenmiştir. OSI referans modelinde, iki bilgisayar sistemi arasında yapılacak olan iletişim problemini çözmek için 7 katmanlı bir ağ sistemi önerilmiştir. Bir başka deyişle bu temel problem 7 adet küçük probleme parçalanmış ve her bir 9

28 problem için ayrı ayrı bir çözüm bulunmaya çalışılmıştır. Bu 7 katmanın en altında yer alan iki katman yazılım ve donanım, üstteki beş katman ise genelde yazılım yolu ile çözülmüştür. OSI modeli, bir bilgisayarda çalışan uygulama programının, iletişim ortamı üzerinden başka bir bilgisayarda çalışan diğer bir uygulama programı ile olan iletişimin tüm adımlarını tanımlar. En üst katmanda görüntü ya da yazı şeklinde yola çıkan bilgi, alt katmanlara indikçe makine diline dönüşür ve sonuç olarak 1 ve 0 lardan ibaret elektrik sinyalleri halini alır. Aşağıdaki şekilde OSI referans modeli katmanları ve bir yerel ağ üzerindeki durumu gösterilmektedir. OSI Referans Modeli 7 katman (layer) dan oluşmuştur. Bu katmanlar sırasıyla; Application-Presentation-Session-Transport-Network-DataLink-Physical ( Uygulama Sunum Oturum İletişim Ağ Veri Bağı - Fiziksel) Şimdi bu katmanları teker teker ayrıntılı bir biçimde şekil 3 de inceleyelim. Şekil 3: OSI model yapısı 10

29 2.6.1-Application Layer (Uygulama Katmanı): Kullanıcı tarafından çalıştırılan tüm uygulamalar bu katmanda tanımlıdır. Bu katmanda çalışan uygulamalara örnek olarak, FTP (File Transfer Protocol), SNMP (Simple Network Management Protocol), e-posta uygulamalarını verebiliriz Presentation Layer (Sunuş Katmanı): Bu katman adını amacından almıştır. Yani bu katman verileri uygulama katmanına sunarken veri üzerinde bir kodlama ve dönüştürme işlemlerini yapar. Ayrıca bu katmanda veriyi sıkıştırma/açma, şifreleme/şifre çözme, EBCDIC dan ASCII ye veya tam tersi yönde bir dönüşüm işlemlerini de yerine getirir. Bu katmanda tanımlanan bazı standartlar ise şunlardır: PICT, TIFF, JPEG, MIDI, MPEG Session Layer (Oturum Katmanı): İletişimde bulunacak iki nokta arasındaki oturumun kurulması, yönetilmesi ve sonlandırılmasını sağlar. Bu katmanda çalışan protokollere örnek olarak NFS (Network File System), SQL (Structured Query Language), RPC (Revate Procedure Call), ASP (AppleTalk Session Protocol), DNA SCP (Digital Network Arcitecture Session Control Protocol) ve X Window verilebilir Transport Layer (İletişim Katmanı): Bu katman iki node arasında mantıksal bir bağlantının kurulmasını sağlar. Ayrıca üst katmandan aldığı verileri segment lere bölerek bir alt katmana iletir ve bir üst katmana bu segment leri birleştirerek sunar. Bu katman aynı zamanda akış kontrolü (flow control) kullanarak karşı tarafa gönderilen verinin yerine ulaşıp ulaşmadığını kontrol eder. Karşı tarafa gönderilen segment lerin karşı tarafta gönderenin gönderdiği sırayla birleştirilmesi işinden de bu katman sorumludur Network Layer (Ağ Katmanı) : Bu katman, veri paketlerinin ağ adreslerini kullanarak bu paketleri uygun ağlara yönlendirme işini yapar. Yönlendiriciler (Router) bu katmanda tanımlıdır. Bu katmanda iletilen veri blokları paket olarak adlandırılır. Bu katmanda tanımlanan protokollere örnek olarak IP ve IPX verilebilir. Bu katmandaki yönlendirme işlemleri ise yönlendirme protokolleri kullanılarak gerçekleştirilir. Yönlendirme protokollerine örnek olarak RIP, IGRP, OSPF, ve EIGRP verilebilir. Burada dikkat edilmesi gereken önemli bir nokta da yönlendirme protokolleri ile yönlendirilebilir protokollerin farklı şeyler olduğudur. Bu katmanda kullanılan yönlendirme protokollerinin görevi, 11

30 yönlendirilecek paketin hedefe ulaşabilmesi için geçmesi gereken yolun hangisinin en uygun olduğunu belirlemektir. Yönlendirme işlemi yukarıda bahsettiğimiz yönlendirme protokollerini kullanarak dinamik bir şekilde yapılabileceği gibi, yönlendiricilerin üzerinde bulunan yönlendirme tablolarına statik olarak kayıt girilerek de paketlerin yönlendirilmesi gerçekleştirilebilir Data Link Layer (Veri Bağı Katmanı) : Network katmanından aldığı veri paketlerine hata kontrol bitlerini ekleyerek çerçeve (frame) halinde fiziksel katmana iletme işinden sorumludur. Ayrıca iletilen çerçevenin doğru mu yoksa yanlış mı iletildiğini kontrol eder, eğer çerçeve hatalı iletilmiş ise çerçevenin yeniden gönderilmesini sağlamakta bu katmanın sorumluluğundadır. Bu katmanda, iletilen çerçevenin hatalı olup olmadığını anlamak için CRC (Cyclic Redundancy Check) yöntemi kullanılır. Switch ler ve Bridge ler bu katmanda tanımlıdırlar Physical Layer (Fiziksel Katman): Verilerin fiziksel olarak gönderilmesi ve alınmasından sorumlu katmandır. Hub lar fiziksel katmanda tanımlıdırlar. Bu katmanda tanımlanan standartlar taşınan verinin içeriğiyle ilgilenmezler. Daha çok işaretin şekli, fiziksel katmanda kullanılacak konnektör türü, kablo türü gibi elektriksel ve mekanik özelliklerle ilgilenir. Örneğin V.24, V.35, RJ45, RS-422A standartları fiziksel katmanda tanımlıdırlar. 2.7-TCP/IP Protokolü Kullanım olarak iki katmanlı bir haberleşme protokolüdür. Üst katman TCP (Transfer Control Protocol) verinin iletimden önce paketlere ayrılmasını ve alıcıda bu paketlerin yeniden düzgün bir şekilde birleştirilmesini sağlar. Alt katman IP (Internet Protocol) ise, iletilen paketlerin istenilen ağ adresine yönlendirilmesini kontrol eder. İlk olarak 80 li yıllar Amerikan Savunma Bakanlığı (DoD) tarafından OSI tabanlı sistemlere alternatif olarak geliştirilmiştir. DoD un Amerikan piyasasındaki ana belirleyici olması, bu protokolün Amerikan yazılımlarında standart kabul edilmesine neden olmuştur TCP/IP Protokol Yapısı Uygulama Katmanı (Application Layer): Farklı sunucular üzerindeki süreç ve uygulamalar arasında iletişimi sağlar. Taşıma Katmanı (Transport Layer): Noktadan noktaya veri akışını sağlar. 12

31 Internet Katmanı (Internet Layer): Routerlar ile birbirine bağlanmış ağlar boyunca verinin kaynaktan hedefe yönlendirilmesini sağlar. Ağ Erişim Katmanı (Network Interface Layer): Uç sistem ile alt ağ arasındaki lojik arabirime ilişkin katmandır. Fiziksel Katman (Physical Layer): İletişim ortamının karakteristik özelliklerini, sinyalleşme hızını ve kodlama şemasını belirler. Şekil 4: TCP/IP Protokolü Yapısı TCP/IP ile OSI Arasındaki Farklar TCP/IP haberleşme görevini karmaşık bir iş olarak niteleyerek daha basit alt görevlere böler. Her bir alt görev diğer alt görevler için belirli servisler sunar ve diğer alt görevin servislerini kullanır. OSI modeli de aynı kavramı kullanır, ancak OSI modelinde her bir katmandaki protokollerin özellikleri ve birbiri ile ilişkileri kesin bir dille tanımlanmıştır. Bu özellik OSI modeli ile çalışmayı daha verimli kılar. OSI modelinde katmanların görevlerinin kesin bir şekilde belirlenmiş olması yeni bir protokol geliştirmeyi kimi zaman güçleştirebilir. TCP/IP ise böyle bir kısıtlama getirmediğinden, gerektiğinde yeni bir protokol mevcut katmanlar arasına rahatlıkla yerleştirilebilir. OSI modelinde gerekmeyen bir katmanın kullanılmaması gibi esnek bir yapıya izin verilmemektedir. TCP/IP ise katı kurallarla tanımlı olmadığından gereksinim duyulmayan katmanların kullanılmamasına izin verir. Örneğin uygulama katmanında olmasına rağmen doğrudan IP üzerinden kullanılabilen protokoller mevcuttur. 13

32 TCP/IP protokollere örnek olarak, Dosya alma/gönderme protokolü (FTP, File Transfer Protocol), Elektronik posta iletişim protokolü (SMTP, Simple Mail Transfer Protocol), TELNET protokolü (İnternet üzerindeki başka bir bilgisayarda etkileşimli çalışma için geliştirilen *login* protokolü) verilebilir. Adını sıkça duyduğumuz www ortamında birbirine link objelerin iletilmesini sağlayan protokol ise Hyper Text Transfer Protocol (HTTP) olarak adlandırılmaktadır. TCP/IP protokolü aynı zamanda, diğer iletişim ağlarında da kullanilabilir. Özellikle pek çok farklı tipte bilgisayarı veya iş istasyonlarını birbirine bağlayan yerel ağlarda (LAN) kullanımı yaygındır. 14

33 3- VPN (VIRTUAL PRIVATE NETWORK) Tüm dünyada yeni bir WAN (Virtual Private Network) çözümü hızla tanınıyor ve her geçen gün daha çok firma tarafından tercih ediliyor. Bu yeni çözüm daha esnek ve en önemlisi çok daha düşük maliyetler ile geleneksel WAN çözümlerinin tüm işlevlerini yerine getirmektedir. Ağ teknolojilerindeki düzenli gelişmelere rağmen, kurumların hedefi daha hızlı ve daha verimli haberleşme olanaklarını kullanabilmektedir. Personel ve yöneticiler dünyanın neresinde olurlarsa olsunlar, yerel ağlarına sanki ofislerindeymiş gibi erişmek isterler. VPN teknolojisinin cazip hale gelmesinin sebebi kurum/şirket çalışanlarının LAN daki sunucularda ve kurumsal ağlarda, uzak noktalardan çalışmaya başlamış olmalarıdır. Bu çalışanların işlerini uygun bir şekilde yürütülebilmesi için kurumsal LAN lara WEB uygulamalarına ve diğer sunuculara uzaktan erişim sağlamaları büyük önem taşımaktadır. Günümüzde devlet kurumları uzak noktadaki bölgelerini kolayca ve ekonomik yoldan merkeze bağlayarak veri, ses ve video iletişimi sağlama ihtiyacı duyuyorlar. VPN teknolojisi kurumların bölgeleri ile aralarında veri iletişimini güvenilir, kolay ve ekonomik şekilde sağlanmasına olanak veren bir tünelleme teknolojisidir. Kurumların yerel ağlarını internet ortamı üzerine taşınmasını sağlar. VPN teknolojisinde, noktalar arası ekonomik ve güvenilir bağlantılar kurulurken iletişim maliyetini minimum seviyede tutabilmek için internet ortamını iletişim omurgası olarak kullanılır. VPN lerde kullanılan ağ kamuya açık bir ağdır, ancak ileti bir noktadan diğer noktaya kadar özel bir tünel aracılığı ile şifrelenerek ulaşır. Personel ve yöneticiler yerel ağlarına sanki ofislerindeymiş gibi erişim hakkına sahip olurlar. Bu teknoloji sayesinde belirli lokasyonlarda uzak ofisleri bulunan kurumlar, ofislerinin kendi aralarında haberleşmesini, döküman transferi, stok bilgisi sorgulama, satış bilgileri gibi çeşitli uygulamaları bu sanal ağ üzerinden güvenli bir şekilde gerçekleştirebilirler. Gerek İntranet/Extranet VPN lerde gerekse remote Access/Dial VPN çözümlerinde güvenlik, tünelleme teknolojisi ile garanti edilmektedir. Temel olarak, VPN trafiği servis sağlayıcının internet omurgasında güvenli ve kapsüllenmiş/kapalı bir tüneli içinde dolanır. Bu tünele giriş veya tünelden çıkış noktası sadece kurum tarafındaki güvenli router veya ağ güvenlik sunucusudur. Geniş alan ağı (WAN) oluşturma yollarından biri olan VPN, altyapı olarak intraneti kullandığından maliyeti en düşük bir WAN çözümüdür. VPN ler kiralık özel veri hatlarının güvenilirliğine erişebilir mi? Pratik olarak VPN çözümlerinde güvenlik sorun olmaktan çıkmıştır. Tüm VPN çözümlerinde internet erişimi üzerinden kurulan güvenli tüneller söz konusudur. 15

34 Güvenli tüneller, kriptolama teknikleri ile sağlanır. VPN ler bir kuruma, bir servis sağlayıcının herkese açık ağının veya internetin ölçeğini kullanarak, servis sağlayıcı yerel POP noktaları üzerinden kurum ağına uzaktan bağlanabilme olanağı sağlar. Bu durum, kurumlara merkez ofiste yer alan RAS (Remote Access Server) sunucuya doğru yapılan uzak mesafeli telefon çağrı ücretlerinden tasarruf sağladığı gibi, aynı zamanda kurum içinde RAS tabanlı uzaktan erişim çözümleri barındırmanın getirdiği harcamalar ve yönetim masraflarında da azalmalar sağlar. VPN sanaldır: Her bir VPN bağlantısında networkün fiziksel yapısı transparent özelliktedir. Yani VPN kullanıcısı bağlı olduğu esnada bağlantı yaptığı networkü sahiplenmez, bu network aynı zamanda birçok VPN kullanıcısı tarafından paylaşılır. VPN özeldir: Özel olması VPN üzerinden akan trafiğin özel olması anlamındadır. VPN trafiği internet (Public Network) üzerinden geçer. VPN trafiğinin internet üzerinden güvenli geçişini sağlamak için özel network önlemlerine ihtiyaç vardır. Örneğin data kriptolama, data doğrulaması (data authentication), yetkilendirme (authorization) ve adres spoofing önlemesi gibi. VPN bir Networktür: Fiziksel bir varlığı olmayıp sanal olsa da VPN bir network özelliğindedir. VPN, iki uç arasında güvenilir tünel bağlantısı sağlayan bir networktür. Kimler için VPN? Yurtdışında ofisleri bulunan, Yüksek seviyede bilgi güvenliğine ihtiyacı olan, Yurtiçi veya yurtdışında mobil personeli bünyesinde barındıran kurumlar için VPN en ideal çözümdür. 16

35 3.1- VPN Tipleri Uzaktan Erişimli VPN Uzaktan erişimli VPN ile mobil kullanıcılar, küçük/ev uzak ofis (SOHO) merkeze dial-up olarak güvenli bir şekilde bağlanabilirler. Uzaktan erişimli VPN istenilen zamanda network kaynaklarına uzaktan mobil olarak erişim imkanı sağlar. Kurumlarda mobil olarak çalışanlar veya kurumun uzaktaki bir ofisi, bu kurumun intranetine istenilen an erişim yetkisine sahiptir. Uzaktan erişim sunucusu (RAS) uzaktan erişim isteklerinde, kullanıcının kimlik doğrulamasını ve yetkilendirmesini gerçekleştirir. Bu VPN tipinde intranete dial-up bağlantı ile erişir. Şekil 5: VPN olmadığı durumda tipik bir uzaktan erişim yapısı VPN ile uzakta ki kullanıcılar ISP veya ISP nın POP noktasına dial-up lokal bağlantı yaparak internet üzerinden karşı networke bağlanırlar. Bu bağlantının yapısı Şekil 6 da görülmektedir. 17

36 Şekil 6: Uzaktan Erişimli VPN Yapısı VPN ile erişimin diğer erişimlere göre avantajları aşağıda anlatılmaktadır: RAS sunucusuna ihtiyaç olmaz ve RAS sisteminin modem pool unu da kullanmaya gerek kalmaz. Uzun mesafe dial-up bağlantılar yapılmaz, bu işlemin yerine lokal dial-up bağlantılar yapılır. Uzak mesafe kullanıcıları için ekonomik bir dial-up lokal bağlantı servisi sağlar. Lokal ağa eş zamanlı erişmek isteyen kullanıcılar olursa, bu kullanıcıların sayısı ne kadar artsa da VPN bağlantılarda problem olmaz. Dial-up bağlantılar lokal olduğu için, modemlerin uzak mesafe erişimlerde de performansı iyidir. VPN bu kadar avantajlı olmasına rağmen, olumsuz yönleri de vardır: Data kaybı ve paketlerin iletimi esnasında bu verilerin yapısının bozulma ihtimali vardır. Gelişmiş şifreleme algoritmalarından dolayı, protokol yoğunluğu söz konusu olduğundan bir yük meydana gelmektedir. Bu durum kimlik doğrulama sürecinde gecikmelere yol açmaktadır. Ayrıca VPN de ki IP ve PPP tabanlı veri sıkıştırması uzun bir sürede gerçekleşmektedir. İletim ortamı olarak interneti kullandığı için, multimedya içerikli veriler uzaktan erişimli VPN tüneller içinden iletilirken, iletimde gecikmeler söz konusu olabilmektedir. 18

37 3.1.2-İntranet Vpn İntranet VPN, bir organizasyonun uzaktaki bölge ofislerinin, organizasyonun ortak intranetine erişip işlem yapabilmesi için kullanılır. VPN olmadan intranet bağlantılarında her bir kullanıcı merkezdeki router a erişmek durumundadır. İntranet VPN ile merkez ofis ve bölge veya şubelerin dahil olduğu networkler güvenli bir şekilde birbirine bağlanabilmektedir. Şekil 7: WAN omurgası kullanan intranet yapısı (VPN olmadan) Şekil 7 de görülen bağlantı yapısının donanım maliyeti yüksektir. Çünkü organizasyonun intranetine uzaktan bağlantı için en az 2 router a ihtiyaç vardır. Ayrıca tüm lokasyonlardan akan trafiğin intranet omurgasında tanımlanmasının ve yönetiminin de maliyeti yüksek ve çözümü karmaşık olmaktadır. İntranet ne kadar geniş olursa maliyet o kadar çok artmaktadır. VPN çözümleri ile intranetler için pahalı WAN omurga bağlantıları, düşük maliyetli internet bağlantısı ile ortadan kalkmıştır. Şekil 8 de VPN çözümü gösterilmektedir. 19

38 Şekil 8: VPN çözümlü intranet bağlantısı VPN çözümlü intranet bağlantılarının sağladığı avantajlar aşağıda açıklanmıştır: Özel bir WAN omurgasına ihtiyacı olmayıp, İnterneti kullandığı için donanım maliyeti düşüktür. Çok fazla donanıma ihtiyaç duymadığı için bu konuda destek sağlayan personel sayısı da az olacaktır, yani daha az bir işgücü gerektirecektir. İletim ortamı olarak interneti kullandığı için uçtan uca bağlantılarda yeni bir uç bağlantı eklenmesi kolaylaşmaktadır. VPN tünellemede anahtarlama işlemi hızlı olduğundan VPN bağlantılarda back-up özelliği vardır. ISP ye lokal dial-up bağlantı yapıldığı için, erişim hızı yüksektir. İntranet VPN çözümlerindeki dezavantajlar aşağıda listelenmiştir: İletim esnasında paket kaybı ihtimali söz konusudur. Veriler ortak bir network içindeki tünellerden iletildiği için bazı İnternet atakları söz konusu olabilmektedir. Multimedia içerikli verilerin iletiminde iletim zamanında gecikmeler olabilmektedir İnternet ortamından dolayı zaman zaman performans düşüklüğü olabilir ve bu anlarda QoS garanti edilemez. 20

39 3.1.3-Extranet VPN İntranet ve uzak erişimli VPN çözümünden farklı olarak, Extranet VPN dış dünyadan tam olarak yalıtılmış değildir. İş ortakları, iştirakler, ortak çalışılan şirketler ile yapılan güvenli bağlantılardır. Extranet VPN network kaynaklarına kontrollü erişim sağlar. Şekil 9 da VPN olmadan Extranet bağlantının yapısı görülmektedir. Şekil 9: Extranet yapısı (VPN olmadan) Şekilde görüldüğü gibi intranetteki her bir ağın bağlı bulunduğu networke göre yapılandırılması gerektiğinden bu yapı pahalı, karmaşık ve yönetimi zor bir yapıdır. Bu yapıyı yönetecek olan personel sayısı da fazla olacaktır dolayısı ile fazladan bir iş gücü gerektirecektir. Ayrıca bu yapıyı genişletmekte kolay değildir. Bu güçlüklerden dolayı bir network üzerinden bir intranete bağlanılırken problemler yaşanabilir. Extranet VPN çözümü yukarıda bahsedilen problemlerin yaşanmaması için extranet networklerde ideal bir çözümdür. Şekil 10 de Extranet VPN yapısı görülmektedir. 21

40 Şekil 10: Extranet VPN yapısı Extranet VPN in sağladığı avantajlar aşağıda anlatılmıştır: VPN siz extranet bağlantılara göre maliyeti çok düşüktür. Yönetimi, tanımlaması ve tanımlamada değişiklik yapılması kolaydır. İletim ortamı internet olduğundan VPN çözümünde organizasyonun ihtiyacına göre çözüm sağlayabilecek birçok servis sağlayıcı seçeneği vardır. İnternet üzerinden bağlantı ISP tarafından sağlandığı için ilave bir iş gücü gerektirmez dolayısı ile operasyon maliyetide çok düşüktür. Extranet VPN in olumsuz yönleri de aşağıdaki gibidir: Denial-of-Service (DoS) gibi güvenlik tehditleri söz konusu olabilmektedir. İntranete bilinmeyen kaynaklardan erişilebilme riski vardır. İnternet ortamından dolayı, multimedia içerikli verilerin iletiminde zaman zaman gecikmeler meydana gelebilir. İnternet ortamından dolayı performans değişkendir, zaman zaman QoS garanti edilemeyebilir. Bazı dezavantajları olmasına rağmen VPN tabanlı çözümün sağladığı avantajlar, dezavantajlarının önüne geçmektedir. Şekil 11 de VPN tipleri görülmektedir. 22

41 Şekil 11: VPN bağlantı tipleri 23

42 3.2-VPN Bileşenleri Aşağıda bir VPN çözümünün şekli görülmektedir: Şekil 12: VPN çözümünde kullanılan bileşenler VPN donanım: VPN sunucular, istemci makinalar, VPN yönlendiriciler, gateway ler ve VPN yoğunlaştırıcılardan oluşur. VPN yazılımı: Sunucu ve istemci yazılımı ile VPN yönetim araçlarından oluşur. Organizasyon tarafındaki güvenlik: RADIUS, TACACS, NAT ve AAA güvenlik servisleri bu gruptadır. Servis sağlayıcı tarafındaki VPN bileşenleri: Servis sağlayıcının network erişimi için kullandığı anahtarlama omurgası ve internet omurgası bu gruptadır. Public network: İnternet, PSTN ve POTS bu gruptadır. Tüneller: PPTP tabanlı, L2TP tabanlı ve IPSec tabanlı tüneller bu gruptadır VPN Donanım Bileşenleri VPN donanımları 3 kategoride sınıflandırılabilir: 1.Vpn sunucular: VPN sunucular uzak bağlantı servislerini sağlar. Genel fonksiyonları aşağıdaki gibidir. İstemcilerden gelen VPN bağlantı isteklerini dinler. Şifreleme ve kimlik doğrulama gibi bağlantı için gerekli olan işlemleri gerçekleştirir. VPN istemcilerinin kimlik doğrulamasını ve yetkilendirmesini gerçekleştirir. İstemciden iletilen verileri kabul eder / İstemci tarafından beklenen verileri iletir. VPN bağlantı ve tünelin son noktasıdır. 24

43 VPN sunucularda 2 veya daha fazla sayıda network adaptör kartı kullanılmalıdır. Bu kartlardan biri organizasyonunun intranetine bağlanılırken kullanılmakta olup diğer kart internet bağlantısını sağlar. VPN sunucular aynı zamanda VPN gateway veya yönlendirici görevi de yapar. Gateway veya router görevi olan bir VPN sunucu, istemci sayısının az olduğu durumlarda kullanılır (Maximum 20). VPN sunucuların sadece VPN isteklerine cevap vermesi amacıyla kullanılması tavsiye edilen bir durumdur. 2.Vpn istemciler: VPN istemciler kimlik doğrulaması yapıldıktan sonra VPN sunucusunda VPN bağlantısını başlatarak uzaktaki bir networke bağlanan uzak veya local makinelerdir. VPN sunucusu ve istemci ancak başarılı bir log-in işleminden sonra birbiriyle haberleşebilirler. Genellikle istemci tarafında yazılım tabanlı bir istemci bileşeni kullanılır. Bununla birlikte istemci tarafında dedicated bir donanımda bulunabilir. Şekil 13 de VPN istemci profilleri gösterilmiştir. Şekil 13: VPN istemci profilleri Evden organizasyonun kaynaklarına internet üzerinden erişebilen çalışanlar (Telecommuter), İnternet üzerinden organizasyonun intranet kaynaklarına erişebilen mobil çalışanlar, Yönetim, monitör, problem çözme, konfigürasyon yapma amaçlı internet üzerinden intranete erişebilen network yöneticileri. 25

44 3.Vpn yönlendiriciler, yoğunlaştırıcılar: Küçük çaplı bir VPN kurulumu durumunda VPN sunucu yönlendirme görevi yapar. Fakat bu durum büyük ölçekli bir VPN kurulumunda tavsiye edilmez. Büyük ölçekli VPN ler de yönlendirici görevi yapan ayrı bir donanıma ihtiyaç vardır. Genelde, network firewall arkasında olmadığı sürece yönlendirici o ağın son noktasıdır. VPN yönlendiriciler hedef ağa doğru yolları bulmakta olup en kısa yoldan istemcinin hedef ağa erişebilmesini sağlar. VPN teknolojisinde ayrıca Add-ons yönlendiricilerde yaygındır. Bu yönlendiriciler gerçekte bir yönlendirici değildir, normal bir yönlendiricinin LAN veya WAN arayüzüne tanımlanır ve bu yönlendiriciye tünelleme ve/veya IPSec şifreleme ve kimlik doğrulama fonksiyonlarını ekler. Böylece bir organizasyon ek bir yönlendiriciye ihtiyaç duymadan, önceden mevcut olan yönlendiricisine Add-ons özellikler kurarak donanım maliyetini azaltmış olur. VPN yoğunlaştırıcılar uzaktan erişimli VPN bağlantılarında kullanılır. Bu cihazlar yüksek performans ve gelişmiş şifreleme ile kimlik doğrulama yeteneğine sahiptir. Cisco nun 6000 serisi VPN yoğunlaştırıcıları yaygın olarak kullanılan cihazlardır. IP gateway ler farklı protokolleri IP protokolüne dönüştüren cihazlardır. Bu nedenle gateway cihazları özel bir ağın IP protokolünü de desteklemesini sağlar. Bu cihazlar hem donanım hem de yazılım tabanlı olabilir. Donanım tabanlı bir gateway, genelde intranet tarafında kullanılır, yazılım tabanlı gateway lein kurulumu herhangi bir sunucu üzerine yapılabilir ve bu gateway ler farklı protokollerin IP protokolüne dönüştürülmesi için kullanılır 26

45 3.2.2-VPN Yazılım Bileşenleri VPN yazılımları 3 kategoride sınıflandırılabilir: 1.Vpn sunucu yazılımı: VPN sunucularda, Microsoft Windows 2012 ve Linux işletim sistemleri kullanılabilir. 2.Vpn istemci yazılımı: Bir ağın içinde VPN sunucuya istekte bulunan herhangi bir makine VPN istemci olarak nitelendirilir. 3.Vpn yönetim araçları: Bu tip yazılımlar VPN yönetimi, monitör edilmesi ve problemlerin çözülmesi için kullanılır. Bu amaçla kullanılan en yaygın yazılım Cisco Secure Policy Manager yazılımıdır. Windows 2012 de Active Directory Administrative Center (ADAC) yazılımıda bu amaçla kullanılabilir. Yazılım tabanlı VPN çözümlerinin maliyeti daha düşük ve konfigürasyonları daha kolaydır. Fakat ilk kurulumları ve yönetimi zordur. Donanım tabanlı VPN çözümlerinin maliyeti yüksek fakat kurulumu ve yönetimi daha kolay olup, performansı daha iyidir. Tek bir donanımda tüm VPN bileşenleri mevcuttur. 3.3-Güvenlik VPN teknolojisindeki güvenlik çözümleri aşağıda listelenmiştir: Firewall Network Adres Dönüştürme (NAT) Kimlik doğrulama sunucuları ve veritabanları AAA mimarisi IPSec protokolü Firewall Firewall intranetteki kaynaklara, yetkilendirilmemiş kişilerin erişimini engelleyen bir set rolü oynar. IP adresleri, portların dinlenmesi, paket tipleri, uygulama tipleri ve veri içeriğine göre engelleme yapan firewalllar mevcuttur. Şekil 14 de intranet içinde yer alan bir firewall görülmektedir. 27

46 Şekil 14: İntranet ve internet arasındaki firewall Network Adresi Dönüştürme (NAT) NAT tabanlı cihazlar istemciye intranetin kaynaklarının lokal de sahip oldukları IP adreslerini açığa vurmadan intranet kaynaklarına güvenli erişimini sağlar. Temel güvenliği sağlamanın yanında IP adreslerininde ekonomik olarak kullanılmasını sağlaması bir avantajdır. Şekil 15: NAT yapısı Buna karşılık pek çok kullanıcı uzaktan erişim gereksinimi gösteriyorsa ve bunların pek çoğu da kişilik belirleme mekanizmasının çalışmasını gerektiriyorsa, RADIUS bu gereksinimleri çok basit bir uygulama ile çözer, kişilik belirleme geçit kapısı olarak düşünülebilir ve kapı stratejik olarak uzaktan erişim kullanıcısı ile bilgisayar ağı arasına yerleştirilir. RADIUS un devreye giriş aşamasında ID ve parolaya sahip kullanıcıların yeniden veya ek olarak parola almalarına gerek yoktur. Zira RADIUS, direkt olarak bilgisayar ağına veya ağa uzak erişimli olarak bağlanma aşamasında parolanın kullanılmasına olanak sağlar. Bu durum özellikle parolaları düzeltmekten sorumlu ağ yöneticisi için büyük bir destektir. Bu sunucular bir kimlik doğrulama isteği aldıklarında istemcinin lokalde ki veri tabanında kayıtlı olup olmadığına bakar ve kayıtlı ise istemcinin intranete erişimine izin verir, istemci kayıtlı değilse merkezde ki veri tabanına bakılır. İstemcinin kimlik doğrulaması yapıldıktan sonra RADIUS sunucu ISP tarafında ki NAS (Network Access Server) ile haberleşir, VPN bağlantısı kurulur veya reddedilir. 28

47 Şekil 16: RAS Sunucu AAA Authentication Authorization Accounting (AAA) lokal kaynaklara erişim için kullanılan bir diğer kimlik doğrulama ve yetkilendirme mekanizmasıdır. RADIUS/TACACS sunucular ile birlikte kullanılan bir tamamlayıcı yapıdır. AAA uzaktan erişim ile ilgili aşağıdaki sorgulamaları yapar: Networke kim erişmek istiyor? İstemci networke eriştiğinde hangi yetkilere sahip olacak? Kullanıcı ağ içinde hangi işlemleri yapmış ve bu işlemleri ne zaman gerçekleştirmiş? NAS ISP tarafında bulunduğu durumda, uzaktan bağlantı isteğini alır, bu isteği organizasyon tarafında bulunan AAA sunucuya iletir. Bu sunucu istemcinin kimlik doğrulamasını gerçekleştirir veya reddeder, kimlik doğrulanmışsa istemcinin ağda hangi yetkilere sahip olduğunu belirler. Eğer istemci ağda yetkisi dahilinde olmayan bir işlem yapmak isterse bu istek reddedilir ve istemciye uyarı mesajı verilir. Şekil 17 de AAA yapısı görülmektedir. 29

48 Şekil 17: VPN-AAA Yapısı Şimdi uygulamayı adım adım izleyelim: Adım-1: Kullanıcı RAS a bağlantı kurar, Adım-2: AAA, RAS ile ilişki kurar, Adım-3: AAA, RAS a yanıt verir, Adım-4: Hedef kaynağa ulaşım onaylanır. AAA; kimlik doğrulama, yetkilendirme ve muhasebe işlemlerinin kombinasyonudur. Aşağıda bu işlemler anlatılmaktadır Kimlik Doğrulama Kimlik doğrulama, uzaktan erişim söz konusu olduğunda en önemli fonksiyondur. Güçlü bir kişilik belirleme olmaksızın ağa erişimin kontrol altına alınması olanaksızdır ve bunun sonucu olarak kurumsal bilgilerin yetkilendirilmemiş kişilerin eline geçmesi çok kolay olacaktır. En yaygın kullanılan kimlik doğrulama yöntemi Tek Uygulamalı Parola (One-Time- Password-OTP) dır. Kimlik doğrulama kullanıcı ağın RAS veya yönlendiricisine ulaştığında çalışmaya başlar. Bazı durumda kullanıcı aynı anda bir diğer kısıtlı alana ulaşmak ister, bu durumda ek bir kişilik belirleme uygulaması gerekmektedir. VPN de kişilik belirlemede kullanılan en etkin yöntem iki-faktörlü kişilik belirlemedir. Bu yöntemde ID/Parola kontrolüne ek olarak kişiyi belirlemek için ikinci bir eleman devreye alınır. Bu uygulama ATM işlemlerine benzetilebilir. Birinci kontrol, makinaya okuttuğunuz kart üzerinden yapılır. İkinci kontrol için kişisel ID numarası (PIN-Personel ID-Number) kontrolü devreye girer. 30

49 Yetkilendirme Kimlik doğrulama ile yetkilendirmenin sınırı her zaman kesin çizgilerle belli değildir. Yetkilendirme genellikle kimlik doğrulama işlemini izleyerek uygulanır, ancak kimlik doğrulama gerekli değilse birinci uygulama olarak devreye girer. Örneğin WEB sayfasında herkesin kullanımına açık bilgiler gibi verilere ulaşma durumunda yani kimlik doğrulamaya gereksinim duyulmayan durumlarda ve kullanılan ağ servisi gerekli desteği sağladığı durumlarda yetkilendirme işlemi yeterli olacaktır Muhasebe İş hayatında muhasebe kurumun finansal kayıtlarını yürütmek ve denetlemek amacı ile kurulmuş olan bir teori ve sistemlerdir. VPN dünyasında da iş hayatında olduğu gibi muhasebenin işlevi aynıdır. VPN istemcilere ait kayıtları ve sistemle ilgili hareketleri, güvenlikle ilgili raporların üretilebilmesi amacı ile tutulmaktadır. Muhasebe, kullanıcıların ağın hangi noktasından, ne sıklıkla ve ne kadar süre ile işlem yaptığını belirler. Muhasebe işlemi genellikle kimlik doğrulama ve yetkilendirme işleminden sonra gerçekleştirilir, ancak bu iki işlemle her hangi bir bağı yoktur. 3.4-Public Ağlar İnternet bir public network olarak nitelendirilir. Fakat başka public networklerde mevcuttur. Public networklerin listesi aşağıda görülmektedir. 1.POTS (Plain Old Telephone Service): POTS günlük yaşantımızda kullandığımız sabit telefon servislerini sağlayan ağdır. POTS ve POTS olmayan servisler arasındaki temel fark iletim hızıdır. POTS ağlarda en yüksek iletim hızı 56 Kbps dir. 2.PSTN (Public Switched Telephone Network): PSTN bakır kablo altyapısı üzerinden telefon servislerini sağlayan bir analog teknoloji olup son zamanlarda ADSL, DSL, ISDN, FDDI, Frame Relay ve ATM gibi dijital teknolojilerde de kullanılmaya başlanmıştır 3.İnternet: İnternet networkü POTS ve PSTN altyapısını kullanır. Bu iki networkten farkı tüm haberleşmeleri kontrol etmek ve yönetmek için TCP/IP protokolünü kullanmasıdır. Public networkler hızlı iletimler için farklı teknolojiler kullanır. Bu teknolojiler aşağıda görülmektedir: 31

50 -ADSL (Asymmetric Digital Subscriber Line) : ADSL, PSTN altyapısını kullanarak yüksek hızda dijital veri iletimi sağlar. ADSL, 64 Kbps ve 8 Mbps arasındaki band genişliklerini destekler. -FDDI (Fiber Distributed Data Interface) : FDDI, dijital sinyalleri fiber optik altyapı üzerinden ileten bir LAN teknolojisidir. Veri iletiminde jeton yapısını kullanır. Genelde WAN omurgasında kullanılır. FDDI in son versiyonu olan FDDI-2 de ses ve video sinyallerinin iletimi daha başarılı olmaktadır. -ISDN (Integrated Services Digital Network) : Bakır altyapı üzerinden ses, video ve data iletimini fiber altyapı kadar başarılı bir şekilde yapabilen teknolojidir. ISDN, modem yerine uçlarda ISDN adaptör (CSU/DSU) kullanır. ISDN de BRI ve PRI olmak üzere 2 tip servis vardır. BRI ev kullanıcıları için uygun bir servistir, PRI ise daha çok kurumsal amaçlı kullanılan bir servistir. ISDN de 2 tip kanal vardır. B kanalı, data, ses ve diğer sinyalleri taşırken D kanalı kontrol ve sinyalleşme bilgisini taşır. Günümüzde genişband bir ISDN teknolojisi olan B-ISDN yaygın olarak kullanılmaktadır. Aynı kanal üzerinden farklı tipte sinyal gönderme yeteneğine sahiptir ve 1,5 Mbps hızı destekleyebilmektedir. ISDN BRI, 2 adet 64 Kbps B kanalına ve bir adet 16 Kbps D kanalına sahiptir. Bundan dolayı 144 Kbps lik bir kapasiteye sahiptir. PRI ise 30 adet B kanalı ve 1 adet D kanalına sahiptir ve yaklaşık 2 Mbps kapasiteye sahiptir. -Frame Relay: X25 paket anahtarlama teknolojisine dayanır. LAN ağından WAN ağına veri trafiğini taşıyan düşük maliyetli bir çözümdür. Veri transferi için farklı boyutlarda frame ler kullanılır. Ayrıca kendi içinde hata kontrol mekanizmasıda mevcuttur. FR veri iletiminde PVC ve VCC olmak üzere 2 tip devre kullanır. Bu devreler uç kullanıcıya düşük maliyetli dedicated bağlantı imkanları sağlar. -ATM (Asynchronous Transfer Mode) : ATM, audio, video ve veri sinyallerini dijital iletim ortamından ileten PVC tabanlı bir anahtarlama teknolojisidir. 155 Mbps ve 10 Gbps arasındaki bandgenişliklerini destekler. Veriyi 53 byte uzunluğundaki hücre formunda karşı tarafa iletir. ATM de CBR, ABR, VBR ve UBR olmak üzere 4 çeşit servis vardır. CBR, kullanıcıya bandgenişliğini garanti eder, ABR trafiğe bağımlı olarak bandgenişliğini belli zamanlarda garanti eder, VBR video konferans uygulamalarında kullanılır. UBR servisinde bandgenişliği garanti edilmez. 32

51 3.5-VPN Güvenliği İnternet çok güvenli bir iletim ortamı değildir. VPN teknolojisindeki tünelleme işlemi ile bu ortamdaki risklerin önüne geçilebilmektedir Kimlik Doğrulama ve Erişim Güvenlik açıklarını engellemek için en temel işlem kimlik doğrulama ve yetkilendirmedir. Şekil 18 da bir VPN senaryosunda kimlik doğrulama işlemi gösterilmektedir. Şekil 18: VPN senaryosunda kimlik doğrulama Erişim Kontrolü Kullanıcıların network kaynaklarına erişimi aşağıdaki kontrollerle sağlanır: Login ID ve şifre: VPN erişiminde kullanıcı tanımlanması için işletim sistemi tabanlı login ID ve şifre sorgulaması yapılır. S/Key şifresi: Kullanıcı şifreyi girişinde kullanıcıya S/KEY ve bir parametre atanır. Bu parametre, şifre için tanımlanan MD4 ( güvenli hash fonksiyonu ) sayısını belirtir ve sunucuda kaydedilir. İstemci login olmayı denediğinde istemci tarafındaki yazılım şifreye hash fonksiyonunun iterasyonunu uygulayıp sonucu sunucuya gönderir. Sunucu bu cevaba hash fonksiyonunu uygular. Eğer sonuç daha önceden sunucuya kaydedilen sonuç ile eşleşirse istemcinin kimlik doğrulaması başarılı bir şekilde gerçekleşmiş olur ve sunucu daha önceden kayıtlı olan parametreyi istemcinin cevabı ile değiştirir ve şifre sayıcı sistemin değerini bir azaltır. RADIUS (Remote Access Dial-In User Service): RADIUS, istemci/sunucu modeline dayanan bir internet güvenlik protokolüdür. Genelde RADIUS sunucu istemciyi kullanıcı adı ve şifre ile yetkilendirir. Veri güvenliği için istemci ve RADIUS sunucu arasındaki işlem, kimlik doğrulama mekanizması (PAP, CHAP) kullanılarak şifrelenir. 33

52 2 faktörlü jeton tabanlı teknik: Kullanıcı bilgilerinin doğrulanması için iki tane kimlik doğrulama aşaması vardır. Kimlik sorgulanması esnasında cihazlar bir jeton ve şifre rolü oynar. Bu tekniği ATM cihazlarından para çekme işlemine benzetebiliriz. ATM kartımızla kimliğimizi sisteme tanıtır ve şifre sorgulamasında doğru şifreyi girersek ATM sisteminden başarı ile para çekebiliriz. Sadece bu iki faktör sağlandığı zaman sistemden kendi hesabımıza ulaşabiliriz. Bir istemcinin kimlik doğrulaması başarıyla yapıldıktan sonra istemci network dahilindeki tüm kaynaklara erişim yetkisi kazanmış olur, bu da güvenlik açısından bir tehdittir. Çünkü istemci bilinçli olarak ya da olmayarak sistemlerdeki verilerde değişiklik yapabilir. Bu güvenlik açığı da istemcilere limitli yetkiler verilerek kapatılabilir. Örneğin sadece admin olanlar sistemlerde yazma yetkisine sahip olup diğer istemciler sadece okuma yetkisiyle sistemlere erişebilirler. Erişim kontrolü kullanıcının tanımlanması ile yapılır, bunun yanında kaynak ve hedef IP adresi ve port adresleri, tarih, servis, uygulama ve URL gibi parametrelerle erişim kontrolleri de vardır Veri Şifrelenmesi Veri şifreleme (kriptolama), veriyi ciphertext olarak bilinen anlaşılamayacak bir formata dönüştürme mekanizmasıdır. Böylece iletim esnasında veriler yetkisiz erişimlere karşı korunmuş olur. Data şifrelenmesi ile iletim kayıplarının ve verinin değişikliğe uğramasının önüne geçilmiş olur. Şekil 19 da şifreleme modeli görülmektedir. Şekil 19: Şifreleme modeli Gönderen ve alan tarafta simetrik veya asimetrik şifreleme tekniği kullanılır. Şifreleme tekniği (kripto sistemi) kullandıkları anahtarlara göre kategorize edilebilir. Bu anahtar, şifreleme ve çözümleme amaçlı kullanılır ve bir sayı veya kelime formatında olabilir. 34

53 3.5.4-Simetrik Kripto Sistemler Sabit uzunlukta bit dizisinden oluşan tek bir anahtar kullanılır. Bundan dolayı bu sisteme tek anahtarlı şifreleme de denir. Anahtar gizlidir ve şifreleme ile çözümleme işleminde görev alır. Her iki taraftada veri iletilmeden önce, anahtar iki taraf arasında paylaşılır. Gönderen taraf bu özel anahtarı kullanarak orijinal veriyi şifreler ve karşı tarafa gönderir. Veri karşı tarafta şifreli formatta alındığında, aynı anahtar kullanılarak verinin şifresi çözümlenir. Şekil 20 de simetrik kripto tekniği görülmektedir: Şekil 20: Simetrik kripto tekniği Anahtar değişim tekniklerinin tam anlamıyla güvenli olabilmesi için anahtarın mümkün olduğunca uzun bir formatta olması gerekmektedir. Daha uzun bir anahtarın şifrelenmesi, çözümlenmesi ve kırılması zorlaşır, böylece yetkisiz istemciler anahtarı ele geçirdiklerinde kullanamazlar yani güvenlik sağlanmış olur. Anahtarın uzunluğuna bağlı olarak birçok simetrik şifreleme algoritması geliştirilmiştir. Aşağıda VPN çözümlerinde yaygın olarak kullanılan simetrik şifreleme algoritmaları görülmektedir: DES (Data Encryption Standard): DES tekniği 128 bite kadar anahtar uzunluğunu destekler. Fakat bu sayı algoritmanın daha hızlı olabilmesi için 56 bite düşürülmüştür. Bu sayının azaltılmasıyla bu teknik Brute Force ataklarına karşı açık hale gelmiştir. Bu tip ataklarda, rastgele bir anahtar üretilir ve doğru anahtar belirlenene kadar orijinal veriye uygulanır. Anahtar ne kadar kısa olursa, bu anahtarı tespit etmek ve kripto sistemini kırmak o kadar kolaylaşır. 35

54 DES (Triple Data Encryption Standard): 56 bit lik anahtarlar kullanılır. DES tekniğine göre daha güvenlidir çünkü veriyi şifrelemek için 3 farklı anahtar kullanır. Birinci anahtar veriyi şifreler, ikinci anahtar bu şifreyi dekript eder, üçüncü anahtarda bu veriyi ikinci bir defa şifreler. Bu teknik DES tekniğine göre daha güvenli fakat 3 kat daha yavaştır RC4 (Ron s Code): 256 byte a kadar anahtar uzunluğunu destekler. Hızlı ve güvenli bir şifreleme tekniğidir. Rastgele byte dizisi üretir ve sonuç ile orijinal veri arasında XOR işlemi yapar. Simetrik kripto sistemlerde 2 temel problem vardır. Birincisi şifreleme amacıyla tek bir anahtar kullanılması, diğer problem bağlantı sayısının fazla olması durumunda anahtar yönetiminin zorlaşmasıdır. Ayrıca, istemciye ilk anahtar atanması ve periyodik anahtar değişimleri zaman kaybı ve yüksek maliyete sebep olmaktadır. Asimetrik kripto sistemlerinde bu tip problemler meydana gelmez, ayrıca daha yüksek güvenlik sağlar Asimetrik Kripto Sistem Asimetrik sistemlerde anahtar çiftleri kullanılır. Bu anahtarlardan biri sadece istemcinin bildiği özel bir anahtar, diğeri ise public bir anahtardır. Public anahtar şifreleme amaçlı kullanılır, özel anahtarlar ise şifreli mesajları çözümlemek için kullanılır. Asimetrik kripto sistemler genelde public key kripto sistemler olarak bilinir. VPN çözümlerinde daha çok Diffie-Hellman (DH) ve Rivest Shamir Adleman (RSA) asimetrik kripto algoritmaları kullanılır Diffie Hellman Algoritması Her bir bağlantı, bir tanesi public, diğeri özel olmak üzere bir anahtar çifti alır. Aşağıda bu algoritmanın çalışma mantığı anlatılmıştır: Gönderen taraf istemcinin tüm bağlantılarında kullanacağı public anahtarını öğrenir. Gönderen taraf özel anahtar ve istemcinin public anahtarını birleştirerek bir hesaplama yapar ve bu hesabın sonucu ortak gizli bir anahtarda saklanır. Mesaj bu ortak gizli şifre kullanılarak şifrelenir. Şifrelenmiş mesaj istemciye gönderilir. Şifreli mesaj alındığında, istemci kendi özel anahtarı ve gönderen tarafın public anahtarı ile bir hesaplama yapar gizli anahtarı üretir. Bu algoritmanın temel mantığı, yetkisiz bir istemci şifreli mesajı ele geçirse bile özel anahtar saklı olduğu için orijinal bilgiye ulaşamayacak olmasıdır. Şekil 21 de bu algoritma gösterilmektedir. 36

55 Şekil 21: Diffie-Hellman algoritması RSA Algoritması Diğer teknikten farklı olarak istemcinin public anahtarı kullanılarak şifreleme yapılır. İstemci gönderen tarafın public anahtarını kullanarak orijinal mesajı elde eder. Dijital imza kullanarak kimlik doğrulaması yapan RSA algoritmasının çalışma mantığı aşağıdaki gibidir: İstemci taraf, bilgi gönderecek olan taraftan public anahtarını öğrenir. Gönderen taraf orijinal mesajın boyutunu azaltmak için bir hash fonksiyonu kullanır. Elde edilen sonuç MD (Message Digest) olarak bilinir. Gönderen taraf özel anahtarla MD mesajı şifreler ve dijital bir imza üretilmiş olur. Dijital imza ile mesaj istemci tarafına iletilir. Şifreli mesaj istemciye iletildiğinde, istemci MD mesaja hash fonksiyonunu uygular ve istemci, gönderen tarafın public anahtarını kullanarak dijital imzayı çözümler. Bu iki sonucu karşılaştırır ve eşleşme sağlanırsa veri iletilmeye devam eder, sağlanmadığı durumda ise bağlantı sona erer. Şekil 22 de RSA algoritması görülmektedir. 37

56 Şekil 22: RSA algoritma mantığı İstemci taraf verinin doğruluğunu 3 aşamada kontrol ettiğinden RSA daha güvenli bir veri iletimi sağlar. Ayrıca bu teknikte anahtar yönetimi daha kolaydır Public Anahtar Yapısı PKI veri iletiminde güvenli bir bağlantı kurma ve anahtar yönetimi politikalarını belirler. Dağıtık sistemlerde açık anahtarlar (public key) ve X.509 dijital sertifikaların kullanımını sağlayan güvenlik hizmetleri kümesidir. Açık anahtar altyapısı (PKI) kişilerin sahip olduğu açık ve özel anahtarları kullanarak oluşturulan bir bilgi altyapısıdır. Açık anahtar altyapısının temel görevi, internet/intranet üzerinde haberleşen, çalışan kişiler veya kurumlar arasında güvenilen dijital birimler oluşturmaktır. Açık anahtarlı şifreleme sisteminde açık anahtar ve özel anahtar bulunmaktadır. Bu anahtarlar tek yönlü çalışmaktadırlar fakat birbirlerini tamamlarlar. Açık anahtar şifrelemek için, özel anahtar da açık anahtarın şifrelediğini deşifre etmek için kullanılır. Özel anahtar sadece ait olduğu kişide bulunmakta ancak açık anahtar çeşitli şekillerde insanlara iletilebilmektedir, yani açık olarak dağıtılır. Bu altyapıda anahtarların oluşturulması, yetkili bir kurum tarafından onaylanması, sertifikaların saklanması ve dağıtılması, gerektiği durumlarda onayın geri alınması, sonlandırılması gibi işlemler vardır. PKI tekniği organizasyon çapında, ülke çapında veya zon çapında kullanılabilir. PKI fonksiyonları aşağıda anlatılmaktadır. PKI istemciler için özel ve public anahtar üretir. Dijital imzaları üretir ve bu imzaların doğrulanmasını sağlar Yeni kullanıcıların kaydını ve kimlik doğrulamasını yapar. 38

57 Her bir anahtarın geçmiş değerlerini kaydeder ve tutar. Geçersiz olan ve süresi dolan kullanıcıların sertifikalarını iptal eder PKI Bileşenleri PKI istemci CA (Certification Authority) RA (Registration Authority) Dijital sertifikalar CDS (The Certificate Distribution System) 1.PKI İstemci PKİ istemci CA veya RA sisteminde tanımlı olan bir dijital sertifikaya sahip olur. PKI istemci CA veya RA dan sertifika alır ve bu sertifikayı dijital bir kimlik olarak kullanır. 2.Certification Authority (CA) CA, PKI istemcilerin dijital kimlikleri olan sertifikalarını sağlar, günümüzde yaygın olarak kullanılan CA Verisign dır. 3.Registration Authority (RA) CA daki dijital sertifika istekleri yoğun sayıda olduğunda, CA bazı istekleri RA ya yönlendirir. Bu durumda RA istekleri alır ve sertifikaları geçerli hale getirir. RA kullanıcıların sertifikalarını tamamladıktan sonra istekleri CA ya gönderir ve CA kullanıcıların sertifikalarını RA ya iletir. Bu durumda RA, PKI istemciler ve CA arasında görev yapar. 4.Dijital Sertifikalar Sertifikalar temel olarak açık anahtar için bir taşıyıcı görevi görürler. Ancak açık anahtardan daha fazla belirleyici bilgiye sahip oldukları için çok daha işlevseldirler. Dijital sertifikalar, sahibinin anonim anahtarını, adını, son kullanma tarihini, dijital sertifikayı hazırlayan sertifika mercii'nin adını, seri numarasını, e-posta adresini ve diğer bazı bilgileri içerir. Dijital sertifikalar ID kartların elektronik ortamdaki eşleniğidir. Aynı zamanda dijital ID, dijital pasaport, X.509 sertifikası ve public anahtar sertifikası olarak ta isimlendirilirler. Dijital sertifika aşağıdaki bilgileri içerir. Sertifikanın seri numarası Sertifikanın süresi CA dijital imzası 39

58 PKI istemcinin public anahtarı Gönderici taraf kendi kimliğini belirtmek için karşı tarafa şifreli mesajla birlikte dijital sertifikasını gönderir. İstemci taraf aldığı mesajın içinde mevcut olan göndericinin public anahtarının geçerliliğini CA nın public anahtarını kullanarak tespit eder. İstemci taraf gönderici tarafın kimlik doğrulamasını yaptıktan sonra, istemci taraf mesajı çözümlemek için gönderen tarafın public anahtarını kullanır. 5.CDS (Certificate Distribution System) CDS public anahtarların geçerliğini sağlar, anahtarları üretir, anahtarların kaydını tutar ve süresi dolmuş anahtarları iptal eder PKI Tabanlı Kimlik Doğrulama 1. Anahtar çiftinin tanımlanması: Gönderen taraf istemciye veri iletirken her iki taraf içinde bir özel birde public anahtar tanımlanır. İlk önce özel anahtar tanımlandıktan sonra bu anahtara hash fonksiyonu uygulanarak public anahtar üretilir. RSA tabanlı iletimlerde olduğu gibi PKI iletimler dede özel anahtar mesaja eklenir, public anahtar ise bu imzanın doğruluğunu tespit eder. 2. Dijital İmza tanımlanması: Anahtar çifti tanımlandıktan sonra, dijital imza tanımlanır. Bu imza gönderen tarafın kimliğini tanımlar, dijital imza tanımlanması için orijinal mesaja hash fonksiyonu uygulanır. Bu işlemin sonucunda MD mesaj üretilmiş olur ve bu mesaj gönderen tarafın özel anahtarı ile şifrelenir ve bu şifreli mesaj dijital imza olarak isimlendirilir. 3. Mesaj şifreleme ve dijital imza uygulaması: Dijital imza türetildikten sonra orijinal mesaj, gönderen tarafın public anahtarı ile şifrelenir. 4. Şifrelenmiş mesaj ve gönderen tarafın public anahtarı: Şifrelenmiş mesaj gönderen tarafın public anahtarı ile birlikte istemciye iletilir. Public anahtar istemciye gönderilmeden önce istemcinin public anahtarı ile şifrelenir ve karşı tarafta bu şifrenin çözümlenebilmesi için istemci kendi özel anahtarını kullanır. Gönderen tarafın anahtarı aynı zamanda oturum anahtarı olarak ta bilinir. 5. Gönderen tarafın kimlik doğrulaması: Şifrelenmiş mesaj ve public anahtar iletildiğinde, istemci göndericinin kimlik doğrulamasını yapmak için CA parametresine bakar. Dijital imza başarı ile doğrulanırsa, istemci mesajı çözümler, kimlik doğrulaması yapılamazsa alınan mesaj reddedilir ve VPN bağlantısı sonlandırılır. 40

59 6. Mesaj çözümlemesi: Gönderen tarafın kimlik doğrulaması yapıldıktan sonra istemci özel anahtarını kullanarak gönderen tarafın public anahtarını elde eder ve ardından mesajı çözümler. 7. Mesaj içeriği doğrulaması: Son olarak istemci alınan mesajın içeriğine bakar, gönderen tarafın public anahtarını kullanarak dijital imza çözümlenir ve MD mesajı elde edilir. Çözümlenmiş olan mesaja hash fonksiyonu uygulanır ve yeni MD mesaj türetilir. İletilen MD ile türetilen MD karşılaştırılır. Şekil 23: PKI tabanlı iletim 3.6-Tünelleme Tekniği VPN, şifreleme, kişilik belirleme ve yetkilendirme uygulamaları ile güvenliği sağlamak üzere geliştirilmiş bir ağ modelidir. Ancak tam bir güvenliğin sağlanması için VPN ayrıca tünelleme protokollerini kullanır. Bu protokoller Internet temelli VPN kullanıcılarına tam anlamı ile güvenli bir ortam sağlamayı garanti etmektedir. Bu son nokta genellikle LAN da veya kullanıcı ana sistem aygıtlarında özel gateway veya sunuculardır Tüneller Ne Yapar Tünelleme VPN teknolojisinde en önemli işlemdir. Bu teknik organizasyonlara internet üzerinden kendi sanal networklerini oluşturma imkanı sağlar. İntranet dışından hiçbir yetkisiz kullanıcı intranet erişim yetkisine sahip değildir. 41

60 Şekil 24: Basitçe bir VPN tünel Tünelleme tekniğini mektup gönderme işlemine benzetebiliriz. Şekil 24 de görülen İzmir'deki VPN yoğunlaştırıcıda (concentrator) mesaj kriptolanır, sonra gönderilmek üzere kapsüllenir. Bu kapsülleme sırasında, mesaj bir "zarf" içine yerleştirilir ve Ankara VPN yoğunlaştırıcısına doğru adreslenir. Ankara VPN yoğunlaştırıcısı mesajı aldığında en dıştaki zarfı yok eder ve verinin kriptosunu çözer ve mesajı hedef sunucuya aktarır. Tünelleme tekniğinde de payload mesajı mektuba benzetebiliriz ve zarfta payload mesajı enkapsüle eden protokoldür. Zarfın üzerindeki adres bilgisi de pakete eklenen yönlendirme bilgisidir. Tünelleme de paket hedef networke iletilmeden önce bu pakete tünelleme protokolünün başlık bilgisi eklenir. Payload olarak da isimlendirilen orijinal paket internetin desteklemediği bir protokolü kullanıyor olabilir, bu durumda tünelleme protokolü tünel içindeki pakete başlık bilgisini ekler. Bu başlık yönlendirme bilgilerini içerir ve paket artık internet üzerinden iletilebilecek hale gelir. Tünelleme protokolleri, tünelin en ucunda ki kullanıcı için, oturum yönetimi olarak bilinen işlemleri gerçekleştirmek üzere, tünelleri kurar ve yönetir. Tünelleme protokolleri IP kadar diğer protokollerin kapsülleşmesi işini de yapar ve tünel aygıtları için yetkilendirme yöntemlerini gerçekleştirir. Bu protokoller genel olarak verileri şifreler ve tünel içine gönderir. 42

61 VPN tünelleri tarafından hedeflenen güvenlik seviyesinin gerçekleşmesi için, tüneller çok dikkatli oluşturulmalıdır. Tüneller iki grup altında toplanabilir. Bazıları sabit olarak kurulurken, bazıları ihtiyaç durumunda oluşturulabilir. Class-C IP adres alanı için en fazla 256 tünele izin verilmektedir. Tünel kurulduğunda, tünel aygıtları bilgi (kullanıcıya ait parola, şifreleme metotları ve anahtarlar ve tünelleme protokolleri ve ayrıca paketlere ait birbirini izleyen numaralar, paket belirleyiciler, kaynak ve varılacak ağ adresleri vb.) alışverişini başlatır. Paket hedef node a yönlendirildiğinde, internet üzerinde mantıksal bir yoldan iletilir. Bu mantıksal yol tünel olarak isimlendirilir. Alıcı taraf tünellenmiş paketi aldığında tekrar paketi orijinal formatına dönüştürür. Şekil 25 da tünelleme işlemi görülmektedir. Şekil 25: Tünelleme tekniği Tünellemenin Avantajları Kolay tanımlanması Güvenlik: Bir tünel yetkisiz kişilerin erişimine kapalıdır, bundan dolayı tünel içinden iletilen veri, her ne kadar internet gibi güvensiz bir ortamdan iletilse de güvendedir. Düşük maliyet: Tünelleme iletim ortamı olarak interneti kullandığı için özel ağlar ya da kiralık devrelere kıyasla düşük maliyetli bir çözümdür. Protokolden bağımsızdır: NetBIOS ve NetBEUI gibi yönlendirme özelliği olmayan protokoller TCP-IP ile uyumlu değildir. Bu nedenle bu tip paketler internet üzerinden yönlendirilemezler. Fakat tünelleme ile IP olmayan paketlerde internet üzerinden iletilebilir. IP adresi ekonomisi: Tünelleme, IP desteği olmayan paketlerin, IP adresi kullanan 43

62 paketlere eklenerek internet üzerinden iletilmesini sağlayabilir. Böylece network dahilindeki her bir noda IP adresi atanmasına gerek kalmaz, küçük bir IP bloğu ile VPN networkü kurulabilir Tünelleme Tekniğinin Bileşenleri Bir tünel kurulabilmesi için 4 bileşene ihtiyaç vardır: 1. Hedef network: İstemcinin erişmek istediği kaynakları bulunduran ağdır. 2. İstemci node: VPN bağlantısını başlatan istemci veya sunucudur, lokal networkün bir parçası veya laptop kullanan mobil bir çalışan olabilir. 3.HA (Home Agent): VPN isteklerini alır ve bu isteklerin kimlik doğrulamasını gerçekleştirir. Kullanıcıyı yetkilendirdikten sonra tünel kurulmasına izin verir. 4. FA (Foreign Agent): Hedef network tarafındadır, HA sisteminden VPN isteklerini alır. Tünel tekniğini 2 fazda anlatabiliriz: Faz1: İstemci VPN isteğini gönderir ve HA sistemi bu istemcinin kimlik sorgulamasını yapar. Faz2: Tünel içinden veri transferi başlatılır. Faz1 de bir istek başlatılır, bu istek kabul edildiğinde iki uç arasında tünel kurulur ve FA sistemine bağlantı isteği gönderilir. FA (genelde RADIUS sunucudur) istemciyi kullanıcı adı ve şifresi ile doğrular. Eğer kullanıcının kullanıcı adı ve şifresi yanlışsa VPN isteği reddedilir. Kimlik doğrulaması yapılabilirse bu VPN isteği hedef networkdeki HA sistemine iletilir. İstek HA tarafından alındığında, FA sistemi HA sistemine şifrelenmiş login ID ve şifrelenmiş kullanıcı şifresini gönderir. HA bu mesajların doğrulamasını yapar ve FA sistemine bir tünel numarası gönderir ve FA mesajı aldığında bir tünel kurulmuş olur. Tünelin kurulmasından sonra veri iletim aşaması olan 2.faza geçilir. Faz2 de veri paketleri FA sistemine iletilmeye başlanır. FA bir tünel başlığı türeterek her bir veri paketine bu başlığı ekler. FA tünel numarasını kullanarak şifrelenmiş verileri HA sistemine gönderir. HA bu verileri aldığında, paketi orijinal formatına dönüştürür. Orijinal veri network deki hedef node a gönderilir. Şekil 26 de tünelleme işleminin 1. ve 2. fazı görülmektedir: 44

63 Şekil 26: Tüneller içinden 2 fazda data iletimi Tünellenmiş Paket Formatı Daha önceden de bahsedildiği gibi paket hedef networke iletilmeden önce orijinal paket FA tarafından enkript edilir. Bu formattaki paket tünellenmiş paket olarak isimlendirilir. Şekil 27 da tünellenmiş paket görülmektedir: Şekil 27: Tünellenmiş paketin yapısı Yönlendirilebilir protokol başlık bilgisi: Hedef HA ve kaynak FA sistemlerin IP adres bilgisini içeren başlıktır. Tünel paket başlığı: Aşağıdaki alanları içerir: Protokol tipi: Pay-load protokol tipidir. Anahtar: İstemcinin tanımlamasını ve kimlik doğrulamasını gerçekleştirir. Seri Numarası: İletilen paketlerin seri numarasıdır. Kaynak yönlendirme: İlave yönlendirme bilgisi içerir, opsiyonel bir alandır. Pay-load: İstemci tarafından FA sistemine gönderilen orijinal pakettir. 45

64 3.6.5-Tünel Tipleri İstemci tarafından isteğe bağlı olarak oluşturulan tüneller: Uçtan uca tünel olarak bilinir. İstemcinin bağlantı isteği üzerine oluşturulur. İstemci node tünelin son noktasıdır. Bundan dolayı, her bir uç için farklı tüneller oluşturulur ve iki uç arasındaki iletişim sona erdiğinde tünelde sonlandırılır. Şekil 28: İsteğe bağlı olarak oluşturulan tünel yapısı Sunucular tarafından oluşturulan tüneller: İstemci tarafındaki istekle oluşturulan tünelden farklı olarak, bu tüneller NAS (Network Attached Storage) veya dial-up sunucular tarafından oluşturulur. Uzaktaki istemci ilk olarak bu sistemlerle bağlantı kurar (bu sistemler genelde ISP tarafında bulunur) ve tünel oluşturulur. Şekil 29: Sunucular tarafından oluşturulan tüneller İstemci tarafından oluşturulan tünel Sunucu tarafından oluşturulan tünel İstemci tünelin son noktasıdır. NAS veya dial-up sunucular tünelin son noktasıdır. Her bir bağlantı için farklı tüneller kurulur. Çoklu bağlantılar aynı tüneli kullanırlar. Data iletimi daha hızlıdır. Tünellerin süresi kısadır. Tablo 2: İstemci - Sunucu Tünel Farkları Aynı anda birden fazla bağlantı durumunda bağlantılar aynı tüneli paylaştığı için data iletimi daha yavaştır. Tünellerin süresi diğer tekniğe göre daha uzundur. 46

65 3.7-Tünelleme Protokolleri Tünelleme protokolleri üç kategoride sınıflandırılabilir: 1. Taşıyıcı protokoller: Tünellenmiş paketlerin internet üzerinden iletimini sağlamak için bu paketleri yönlendirir. Tünellenmiş paketler bu protokolün paketleri içine enkapsüle edilir. 2. Enkapsüle protokolleri: Pay-load paketin enkapsüle edilmesini sağlar. Bu protokol ile tünel kurulur ve sonlandırılır. Günümüzde en yaygın olan enkapsüle protokolleri PPTP, L2TP ve IPSec dir. 3. İletim protokolleri: Tünel içinden iletilmesi amacıyla enkapsüle edilmesi gereken orijinal veriler için bu protokol devreye girer. En yaygın olan iletim protokolleri PPP ve SLIP (Serial Line Internet Protocol) protokolleridir. Şekil 30: Tünelleme protokolünü kullanan tünellenmiş paketler Point To Point Protokol (PPP) Seri ve uçtan uca bağlantılarda kullanılan enkapsülasyon protokolüdür. PPP, EIA/TIA-232- C ve ITU-T V.35 e sahip olan herhangi bir DTE veya DCE sistemde kullanılabilir. IP ve IP olmayan verilerin enkapsülasyonu ve iletilmesi aşağıdaki gibi gerçekleştirilir: IP olmayan datagramlara IP adreslerinin atanması, Kurulan bağlantının konfigürasyonu ve test edilmesi, Datagramların senkron ve asenkron enkapsülasyonu, İletim esnasında hata algılama. PPP yukarda bahsedilen işlemleri gerçekleştirmek için 3 standart kullanır: Uçtan uca bağlantılarda data paketlerini enkapsüle etmek için kullandığı standart. Genelde bu standart HDLC (High Level Data Link Protocol) olarak bilinir ve bu protokol data paketlerini çerçevelere bölerken, PPP paket formatını değiştirmez. Uçtan uca bağlantıların kurulması ve test edilmesi için standart olarak LCP (Link Control Protokol) kullanılır. İletim esnasında hataları yakalamak için standart olarak NCP (Network Control Protocol) kullanılır. 47

66 PPP Tekniği Data paketleri enkapsüle edildikten sonra istemci, karşı tarafa uçtan uca bağlantı üzerinden LCP frameleri gönderir. Karşı taraf bağlantı isteğini aldığında, bağlantı kurulmuş olur. Kaynak node uygun network katmanı protokollerinin seçimi için NCP frameleri gönderir ve iki uç arasında data iletimi başlar. Şekil 31: PPP bağlantının kurulması PPP bağlantılar kurulduğunda, bu bağlantılar LCP ve NCP frameler bağlantıyı sonlandırana dek devam eder. Bağlantıda bir problem olduğu durumda da bu bağlantı sonlandırılabilir PPP Paket Formatı Bir PPP frame 6 bölümden oluşur: Flag: 1 byte uzunluğundadır, frame in başlangıcını ve bitimini belirtir. Adres: PPP uçtan uca bağlantıları kullandığından, broadcast adres kullanır, bu alanın uzunluğu 1 byte dır. Kontrol: Bu bilginin uzunluğu 1 byte dır ve serisini kullanır. Frame in istemci bilgisini taşıdığını belirtir. Protokol: Frame in data alanında enkapsüle edilmiş olan verinin protokolünü belirtir. Uzunluğu 2 byte dır. Data: Kaynak ve hedef node lar arasındaki bilgiyi içerir. Maksimum uzunluğu 1500 byte dır. FCS (Frame Check Sequence): Uzunluğu 2-4 byte dır. 48

67 Şekil 32: PPP frame in formatı PPP Bağlantı Kontrolü PPP, 2 node arasındaki data iletiminin yanında 2 uç arasındaki bağlantının kontrolünü yapma işleminden de sorumludur. Bu amaçla LCP standardını kullanır. LCP aşağıdaki işlemleri yapar: PPP bağlantısının kurulumunda görev alır. Kurulu olan bağlantının konfigürasyonunu yapar Kurulu olan bir PPP bağlantının düzenli kontrollerini sağlar. 2 uç arasındaki veri iletimi tamamlandığında, bu bağlantıyı sonlandırır. LCP tabanlı link kontrolü 4 fazda çalışır: Link kurulumu, link kalitesi, uygun network katman protokolünü belirleme, link sonlandırma fazları. Bu fazların açıklamaları aşağıdadır: Link kurulumu: İki uç arasındaki bağlantı LCP tarafından kurulur, LCP bu işlem için bağlantı kurulum frame lerini kullanır. Her bir uç cevap olarak kendi frame ini gönderdiğinde bu faz tamamlanmış olur. Link kalitesi: Kurulan bağlantının tam olarak hazır olup olmadığını kontrol eder. Network-katman protokolünü belirleme: Bu fazda PPP frame in protokol alanına enkapsüle edilmiş olan data nın Network-katmanı protokolü belirlenir. Link sonlandırma: LCP nin son fazıdır ve iki uç arasındaki mevcut PPP bağlantıyı sonlandırır Point To Point Tünelleme Protokolü (PPTP) PPTP bir Layer-2 protokolüdür ve PPP frameleri IP ağı üzerinden (internet) iletilmesi için IP datagramlar içine enkapsüle eder. PPTP daha çok uzaktan erişimli VPN bağlantılarda kullanılır. RFC 2637 de tanımlı bir protokoldür. PPTP, tünel işlemleri için TCP bağlantı, PPP framelerin enkapsülasyonu için GRE kullanır. Şekil 33 de bir PPTP paketin yapısı gösterilmektedir. 49

68 Şekil 33: PPTP paketin yapısı PPTP, IP network üzerinden VPN bağlantısı sağlayarak, istemci ve sunucu arasında güvenli veri transferi yapar. On-demand VPN bağlantıları kurmayı sağlar. PPTP protokolünün avantajları aşağıda ki gibidir: 1. PSTN (Public Switched Telephone Networks) networkünü kullanır; VPN bağlantılarda PSTN networkünün kullanılmasına imkan sağlar ve böylece VPN konfigürasyonları daha kolay bir hale gelir. Bu kolaylığından ve düşük maliyetinden dolayı günümüzde kiralık devre networklerinin yerini almaktadır. 2. IP tabanlı olmayan protokolleri de destekler; IP protokolünün yanında TCP/IP, IPX, NetBEUI ve NetBIOS standartlarını da desteklemektedir. Bundan dolayı sadece internet üzerinden değil, özel networkler üzerinden de VPN bağlantıları kurulabilir PPTP Protokolünde PPP Protokolünün Rolü PPTP, PPP protokolünün gelişmiş bir versiyonudur. Temel olarak PPP protokolünün tekniklerini kullanır. Farkı ise sadece PPP trafiğini public networkler üzerinden farklı bir yöntemle geçirmesidir. PPTP protokolünde PPP gibi, çoklu bağlantıları desteklememektedir. PPTP kullanan tüm bağlantılar uçtan-uca bağlantılardır. PPP protokolü PPTP tabanlı iletimlerde aşağıdaki fonksiyonları destekler: Uç noktalar arasında fiziksel bağlantının kurulması ve sonlandırılması, PPTP istemcilerin kimlik doğrulamasının gerçekleştirilmesi PPP datagramlarının oluşturulabilmesi için IPX, NetBEUI, NetBIOS ve TCP/IP datagramlarının şifrelenmesi. 50

69 Şekil 34: PPP işlemleri PPTP Bileşenleri PPTP istemci Network Access Server (NAS) PPTP sunucu Şekil 35: PPTP tünel ve PPTP bileşenleri PPTP İstemcileri PPTP istemci uzak bir sunucuya bağlantı isteği gönderdiğinde ISP tarafındaki NAS sisteminin servislerini kullanır. İstemci ilk olarak ISP tarafına dial-up PPP bağlantı kurabilmek için bir modeme ve bir tünel oluşturulması için VPN cihazına bağlanır. VPN cihazları internet üzerinden tünel oluşturmak için ISP tarafındaki NAS sistemine dial-up olarak bağlanırlar. 51

70 Şekil 36: PPTP paketlerinin karşı networke iletimi PPTP Sunucular Uzaktaki veya lokaldeki bir node dan diğer bir noda VPN isteklerini iletme yeteneğine sahip sunuculardır. Uzak isteklere cevap verebilen PPTP sunucuların yönlendirme özelliğine sahip olması gerekmektedir. RAS (Remote Access Server) sunucular ve Windows 2012 sunucular günümüzde yaygın olarak kullanılan PPTP sunuculardır PPTP Network Erişim Sunucuları (NAS) sunuculardır. İstemcilerin PPP/dial-in olarak internet bağlantısını sağlayan ve ISP tarafında bulunan PPTP Güvenliği PPTP güvenli bir iletişim için aşağıdaki özelliklere sahiptir: PPP tabanlı bağlantı kurma Bağlantı kontrolü PPTP tünelleme ve PPTP veri transferi PPTP bağlantı kontrolü PPTP sunucu ve istemci arasında PPP tabanlı bir fiziksel bağlantı kurulduktan sonra PPTP bağlantı kontrolü yapılır. Bu kontrol tipi Şekil 37 da görülmektedir: 52

71 Şekil 37: PPP bağlantı üzerinden PPTP kontrolünün yapılması PPTP kontrol mesajları TCP datagramlara enkapsüle edilir. Bundan dolayı, uzak sunucu veya istemciyle PPP bağlantısı kurulduktan sonra bir TCP bağlantı başlatılır. PPTP kontrol mesajları bu bağlantı üzerinden iletilir PPTP Tünelleme Bir PPTP veri paketi aşağıdaki enkapsülasyon işlemlerinden geçirilir: Verinin Enkapsülasyonu: Payload şifrelenir ve bir PPP frame içine enkapsüle edilip bu frame e bir PPP başlık eklenir. PPP Frame lerin Enkapsülasyonu: Başlık bilgisi eklenmiş olan PPP frame, GRE içine enkapsüle edilir. GRE Paketi Enkapsülasyonu: GRE paketin içine enkapsüle edilmiş olan PPP frame e bir IP başlık eklenir ve bu başlıkta PPTP istemci ve hedef network deki sunucunun IP adresleri taşınır. Data Link Layer Enkapsülasyonu: PPTP bir Layer 2 tünelleme protokolüdür. Bundan dolayı data link layer başlığı tünellemede büyük öneme sahiptir. Bu layer datagramlara kendi başlık bilgisini ekler. Eğer bu datagram lokal PPTP tünelinden geçecekse, bir LAN teknolojisi başlığı ile enkapsüle edilir. Eğer bir WAN tünelini kullanacaksa bu datagramda değişiklik yapılmaz. 53

72 Şekil 38: PPTP veri tünelleme işlemi PPTP data transferi istemciye başarıyla yapıldığında istemci tünellenmiş paketleri orijinal paketlere dönüştürmeyi isteyecektir. PPTP tünellenmiş paketin geri dönüşümü, PPTP tünelleme işleminin tam tersidir. Orijinal paketlerin elde edilebilmesi için aşağıdaki işlemler takip edilir: İstemci, pakete gönderen tarafından eklenmiş olan Data Link başlığını kaldırır, GRE başlık kaldırılır, IP başlık kaldırılır, PPP başlık kaldırılır, Son olarak şifre çözümleme yapılır. 54

73 Şekil 39: Tünellenmiş paketin orijinal pakete dönüştürülmesi PPTP bağlantıların kontrolü TCP 1723 portu üzerinden PPTP istemcinin ve sunucunun IP adresi ile yapılır. Kontrol mesajları ile PPTP tünellerin devamlılığı ve sonlandırılması sağlanır, PPTP sunucu ve istemci arasındaki bağlantıda bir problem olup olmadığı kontrol edilir. PPTP protokolündeki güvenlik işlemleri aşağıda görülmektedir: Veri Şifrelemesi Kimlik doğrulama Erişim kontrolü Paket filtrelemesi PPTP Veri şifrelemesi PPTP, PPP tarafından desteklenen MPPE (Microsoft Point-to-Point Encryption) şifreleme servislerini kullanır. Anahtar üreten algoritma RSA-RC4 hash algoritmasıdır. Bu anahtar tünel içinden iletilen verilerin şifrelenmesi için kullanılır. Anahtarın uzunluğu 128 bittir PPTP Kimlik Doğrulaması PPTP aşağıda anlatılan kimlik doğrulama mekanizmalarını kullanır: MS-CHAP (Microsoft Challenge Handshake Authentication Protocol): PPP tabanlı kimlik doğrulamalar için kullanılır. CHAP tekniğine benzemektedir. Tek farkı, MS- CHAP tekniği RSA RC4 algoritmasını, CHAP tekniği ise RSA MD5 algoritmasını kullanır. PAP (Password Authentication Protocol): En yaygın dial-in kimlik doğrulama protokolüdür. Ayrıca PPP tabanlı bağlantılarda da kimlik doğrulamada kullanılır. 55

74 PPTP protokolünün temel avantajları aşağıdaki gibidir: PPTP yaygın olarak kullanılan bir built-in Microsoft çözümüdür. IP tabanlı olmayan protokolleri de destekler. Unix, Linux, Apple s Macintosh desteği vardır. PPTP protokolünün dezavantajları ise aşağıdaki gibidir: L2TP ve IPSec protokolüne göre güvenliği daha azdır. PPTP platform bağımlı bir protokoldür. PPTP nin sunucudaki tanımlamaları zordur. PPTP protokolünün en büyük dezavantajı güvenlik mekanizmasının çok sağlam olmamasıdır. Çünkü anahtarın kullanıcı şifresinden elde edildiği simetrik şifreleme tekniğini kullanır L2F (Layer-2 Forwarding) Protokolü L2F uzak bağlantılarda birçok avantaja sahiptir. Bir tünel içinde birden fazla oturum açabilir. Yani tek bir dial-up bağlantı ile birden fazla kullanıcı intranete erişebilir. Bu nedenle L2F ile VPN çözümlerinin maliyeti daha düşük olacaktır, çünkü uzak lokasyon ile ISP arasında ve ISP POP noktası ile intranet arasındaki bağlantıların sayısı azalacaktır. Şekil 40 de L2F tünelleme yapısı görülmektedir. Şekil 40: ISP POP noktası ile gateway arasındaki L2F tünel 56

75 L2F Tekniği Bir istemci intranetteki bir kaynağa dial-up bağlantı ile eriştiğinde aşağıda bahsedilen olaylar gerçekleşir: İstemci, servis sağlayıcı ile ISDN veya PSTN networkü üzerinden PPP bağlantı başlatır. ISP POP noktasındaki NAS sistemi istemcinin bağlantısını kabul ederse, NAS sistemi ile istemci arasında bir PPP bağlantı başlatılmış olur. İstemcinin servis sağlayıcıda CHAP veya PAP teknikleri ile kimlik doğrulaması yapılır. Eğer hedef ağın gateway ine mevcut bir tünel yoksa bir tünel kurulur. Tünel kurulumu gerçekleştikten sonra bağlantıya bir MID atanır ve gateway e uzak bir kullanıcının bağlantı isteği olduğu mesajı gönderilir. Gateway bağlantı isteğini ya kabul eder ya da reddeder. İstek reddedilirse dial-up bağlantı sonlandırılır, kabul edilirse gateway kullanıcıya bağlantıyı başlatacağına dair mesaj gönderir. Kullanıcının gateway tarafından kimlik doğrulaması yapıldıktan sonra kullanıcı ile gateway arasında sanal bir interface kurulur. Şekil 41 de iki uç arasında L2F tünelin kurulması işlemleri gösterilmektedir: Şekil 41: İstemci ve sunucu arasında L2F tünelin kurulması 57

76 L2F Tünelleme İstemcinin kimlik doğrulaması yapılıp bağlantı isteği kabul edildikten sonra, ISP-NAS sistemi ile hedef ağın gateway i arasında şekil 42 de görüldüğü gibi bir tünel kurulur. Şekil 42: L2F tünelleme işlemi L2F tüneller aynı zamanda sanal interface olarak ta isimlendirilirler. Tünel kurulduktan sonra frame ler tünel üzerinden aşağıda anlatıldığı gibi iletilirler: İstemci frameleri ISP-NAS sistemine gönderir. NAS sisteminde frame e bir L2F başlık eklenir, frame enkapsüle edilir ve tünel üzerinden hedef networke gönderir. Gateway tünellenmiş paketleri kabul eder, L2F başlığına bakar ve paketi intranet içinde hedef kaynağa iletir. Hedef kaynak aldığı tünellenmiş paketleri orijinal haline dönüştürür. Şekil 43: L2F paket formatı Hedef ağdan istemciye cevap gönderilmesi de aynı şekilde gerçekleşir, frameler ilk olarak gateway e gönderilir ve L2F paketlerin içinde enkapsüle edilir, ISP-NAS sistemine iletilir. NAS sistemi frame in L2F bilgisine göre frame i istemciye iletir L2F Veri Şifrelemesi L2F, şifreleme işlemi için MPPE (Microsoft Point-to-Point Encryption) tekniğini kullanır. Fakat bu teknik günümüzde güvenlik açısından yetersiz kaldığı için verinin iletiminde ek olarak IPSec tekniğini de kullanır. IPSec, şifreleme amaçlı olarak ESP (Encapsulating 58

77 Security Payload) AH (Authentication Header) ve IKE (Internet Key Exchange) protokollerini kullanır L2F Kimlik Doğrulama L2F kimlik doğrulaması 2 aşamada gerçekleştirilir: İlk olarak istemci ISP POP noktasına dial-in bağlantı yapar, kimlik doğrulama geçekleşir ve bir tünel kurulur. İkinci aşamada ise gateway ile NAS sistemi arasında istemcinin kimlik doğrulaması yapılır ve tünel kurulur. L2F, PPTP tekniğinde olduğu gibi, kimlik doğrulama işlemlerinde PPP servislerinden yararlanır. L2F Gateway bir bağlantı isteği aldığında istemcinin kimlik doğrulama işlemi yapılırken PAP tekniği kullanılır. L2F veri güvenliğini sağlamak için ayrıca CHAP, EAP, RADIUS ve TACACS tekniklerinden de yararlanır. L2F çözümlerinin sağladığı avantajlar aşağıdaki gibidir: Gelişmiş güvenlik özelliği, Platform bağımsız olması, ISP tarafında çok fazla tanımlama yapılmaması, ATM, FDDI, IPX, NETBEUI ve Frame Relay desteğinin de olması. L2F çözümlerinde aşağıdaki gibi bazı dezavantajlarda sözkonusu olmaktadır: Konfigürasyonları kolay olmamaktadır, ISP tarafında da L2F desteği olması gerekmektedir. PPTP ile kıyaslayınca L2F tünellerde iletim hızı daha yavaştır L2TP (Layer-2 Tunneling Protocol) L2TP, PPTP ve L2F protokollerinin birleşimidir. PPTP ve L2F protokollerinin en iyi özelliklerine sahiptir. PPP frameleri; IP, X25, Frame Relay ve ATM networkleri üzerinden iletilebilmesi için enkapsüle eder. Datagram olarak IP kullanacak şekilde tanımlama yapılırsa internet üzerinden bir tünelleme protokolü olarak kullanılabilir. RFC 2661 de tanımlıdır. İnternet üzerinden, enkapsüle edilmiş PPP framelerin tünellenmiş veri olarak iletilebilmesi için UDP protokolünü kullanır. 59

78 Şekil 44: L2TP mesajın yapısı Windows 2012 sisteminde L2TP paketlerinin şifrelenmesi için IPSec/ESP (Encapsulating Security Payload) kullanılır. L2TP paketlerinin ESP ile şifrelenmiş formatı şekil 45 de görülmektedir. Şekil 45: ESP ile şifrelenmiş bir L2TP paketin yapısı 60

79 L2TP ve PPTP Protokollerinin Karşılaştırılması L2TP ve PPTP, OSI modeline göre 2. Katmanda çalışan protokollerdir. Kullanıcı yetkilendirmesi esasına dayanarak çalışırlar. Örneğin bir PPTP istemcisi, PPTP sunucusuna kullanıcı adı ve şifresini göndererek bağlantı talebinde bulunur. Şayet istemcinin gönderdiği kullanıcı adı ve şifre doğruysa oturum açılır. Artık istemci ile sunucu arasındaki bilgi kriptolu olarak taşınır. Kriptolama için kullanılan anahtar, kullanıcı şifresinden türetilir. Hem L2TP hem de PPTP verinin aktarımını datagram (UDP) paketleri ile yapar. Ancak PPTP, L2TP den farklı olarak tünelin kurulumu ve yönetimi ile ilgili kontrol işlemlerini, sunucu ile istemci arasında TCP bağlantısı kurarak yapar. Bu PPTP protokolünün, paket geçirme süresinin yüksek olduğu ağlarda L2TP protokolüne göre performansın düşmesine sebep olur. Diğer yandan L2TP nin bir özelliğide aynı anda iki nokta arasında birden fazla tünel açabilmesidir IPSec (İnternet Protocol Security) Protokolü IPSec, network katmanında IP güvenliği sağlamak için IETF (Internet Engineering Task Force) tarafından tanımlanmış protokol takımıdır. IPSec temelli VPN iki kısımdan oluşmaktadır. 1. Internet Key Exchange protokolü (IKE) 2. IPSec protokolü (AH/ESP/tümü) Birinci kısım, IKE, ilk görüşme (negotiation) fazıdır. Bu fazda iki VPN uç noktası IP trafiğini hangi metodlarla güvenlik altına alacağı konusunda anlaşır, buna ek olarak IKE, Güvenlik İlişkileri (Security Associations-SAs) kurarak bağlantıları yönetir. SA lar tek yönlüdür. Böylece her IPSec bağlantısı için iki adet SA bulunur. Diğer kısım ise transfer edilen gerçek IP verisidir. Bu transfer IKE görüşmesinde karar verilen şifreleme ve doğrulama metodları (ESP, AH veya her ikisi) ile yapılır. 61

80 AH IPSec Servisleri ESP (sadece şifreleme) ESP ( Şifreleme ve Kimlik doğrulama ) Erişim Kontrolü Connectionless Veri kimlik doğrulama Tekrarlanan aynı paketlerin iptali Güvenilirlik Trafik akışının limitlenebilmesi Tablo 3: IPSec Servisleri Şekil 46: IPSec mimarisi IPSEC yapısında 2 mod söz konusudur; tünel ve iletim modu. Ş ekil 47 de iletim modu görülmektedir: 62

81 Şekil 47: IPSec iletim modu Bu modda en üst katmandan en alt katmana kadar paketin yönlendirilebilmesi için IP başlık kullanılır. Şekil 48 de IPSec tünel modu gösterilmektedir. Şekil 48: IPSec tünel modu 63

82 IKE (Internet Key Exchange) Veriyi şifrelemek ve doğrulamak için gerekli işlemler şifreleme ve doğrulama algoritmaları ve bunlar için gerekli anahtarlardır. IKE protokolü bu oturum anahtarlarının (Session Keys) dağıtımını yapmak ve VPN uç noktalarının hangi güvenlik politikalarında anlaşacaklarını kararlaştırmak için kullanılan bir metoddur. IKE üç ana göreve sahiptir: Uç noktalara karşılıklı doğrulama için yöntem sağlar. Yeni IPSec bağlantıları oluşturur (SA oluşturur). Mevcut bağlantıları yönetir. IKE her bağlantıya SA tahsis ederek bağlantıların izini tutar. SA bir bağlantı için atanmış ESP, AH, oturum anahtarları gibi tüm parametreleri tanımlar. SA tabiatı gereği tek yönlüdür. IKE ve IPSec bağlantılarının limitli ömürleri vardır. Bu ömürler zaman (saniye) veya veri miktarı olarak tanımlanır. Bu ömürler bağlantıların çok uzun süreler boyunca kullanılmamasını sağlamak için tanımlanırlar. IPSec bağlantı ömrü genellikle IKE bağlantı ömründen kısadır ve IPSec bağlantısı kolaylıkla yenilenebilir. IPSec bağlantısı başlatan VPN gateway karşı tarafa bir öneri listesi gönderir. Bu listede bağlantının güvenlik altına alınabilmesi için kullanılabilecek şifreleme ve doğrulama metodlar/parametreler bulunur. Üzerinde görüşülen bağlantı veri güvenliğini sağlayan IPSec bağlantısı olabilir veya IKE bağlantısı güvenliğini sağlayan IKE bağlantısının kendisi olabilir. Listeyi alan karşı taraf mevcut politikalarına bağlı olarak kendisine en uygun metodu seçer ve bu seçimini karşı tarafa iletir IKE Parametreleri VPN oluşturabilmek için IKE görüşmesi esnasında kullanılabilecek birçok parametre mevcuttur. VPN bağlantısını oluştururken bu parametrelerin iyice anlaşılması ve bu parametrelere dikkat edilmesi gerekmektedir. Uç Nokta Tanımlamaları: Tünel/transport modu Main/agresif mod IKE şifreleme IKE DH grup PFS açık/kapalı/kimlik IPSec şifreleme IPSec ömrü 64

83 Yerel ve Uzak Ağlar/Bilgisayarlar: Uzak gateway IPSec protokolü (ESP/AH/tümü) IKE doğrulama IKE ömür IPSec DH grup IPSec doğrulama IKE Kimlik Doğrulama 1.Manuel anahtar girişi: VPN konfigürasyonunun en basit yolu manuel anahtar girişinden geçer. Bu metotta IKE hiç kullanılmaz ve karşılıklı iki VPN uç noktasına şifreleme, doğrulama anahtarları ve diğer parametreler manuel girilir. Avantajları: Düz bir mantığa sahip olduğu için kısmi birlikte-çalışabilir (interoperable) bir yapıya sahiptir. Birlikte çalışabilirlik problemleri çoğunlukla IKE de yaşanır. Manuel anahtar girişi IKE yi tamamıyla baypas eder. SA tanımları bizzat tanımlanır. Dezavantajları: IKE kullanımından önce geliştirilmiştir ve ilkel bir metottur, böylelikle IKE nin fonksiyonelliklerinden uzaktır. Bu yüzden bazı limitlemeleri vardır, örneğin her zaman aynı anahtarlar kullanılır ve inkar edememe özelliği eksiktir. Bu tip bağlantı reply attacks olarak adlandırılan saldırılara karşı açıktır, 3. bir şahıs belirli bir zamanda gönderilen şifreli paketleri kaydeder ve bir müddet sonra tekrar gönderir. VPN uç noktası paketin sonradan gönderildiğini algılayamaz ve gerekli tedbiri alamaz. IKE bu güvenlik açığını kapatmaktadır. 2.Ön tanımlı anahtarlama (Pre-Shared Keying- PSK): VPN uç noktaları gizli bir anahtarı paylaşır. Bu servis IKE tarafından sağlanır ve bu servis PSK metodunu Manuel anahtar girişi metoduna kıyasla esnek kılar. Avantajları: Manuel anahtar girişi metoduna kıyasla birçok avantajı vardır, örneğin, uç nokta doğrulaması sağlar, tünel ömürleri tanımlanabilir, yeni anahtar tanımlanabilir. Dezavantajları: Ön-Tanımlı anahtarlama metodunda en ciddi dezavantaj anahtar dağıtımı sorunudur. Gizli anahtarlar uç nokta VPN geçitlerine veya istemcilerine güvenli bir şekilde nasıl dağıtılacak? 65

84 3.Sertifika: Her VPN geçidi kendisine özel sertifikaya ve bir veya birden çok kök sertifikasına sahiptir. Her uç nokta, sertifikasında bulunan bir açık anahtara denk gelen bir özel anahtara sahiptir ve bu özel anahtar sadece kendisinde bulunur. Avantajları: Birçok VPN istemcisi Ön-tanımlı anahtar olmadan yönetilebilir, bir istemcinin sertifikası başkası tarafından ele geçirilmişse, sadece o istemcinin sertifikası iptal edilir veya yenilenir, diğer VPN geçitleri/istemcileri için yeniden sertifikalandırma çalışmasına gerek yoktur. Dezavantajları: İyi bir yönetim yazılımı olmadan yönetilmesi güçtür IPSec Protokolleri (ESP/AH) IPSec protokolleri (AH ve ESP) VPN geçitleri arasındaki gerçek veri trafiğini korumak amacı ile kullanılır AH (Authentication Header) AH data akışını doğrulamak için kullanılan bir protokoldür. IP paketinde bulunan veriden MAC oluşturmak için kriptografik hash fonksiyonu kullanır. Elde edilen MAC, karşı tarafa, mesajın bütünlüğünün korunduğunun anlaşılması için orijinal paketle birlikte iletilir. Şekil 49: Pakete AH uygulanması AH protokolü IP paket verisinin yanı sıra IP başlığının parçalarını da doğrular. AH protokolü IP başlığından sonra pakete AH başlığı yerleştirir. Bu protokol ile adres spoofing ve replay atakları önlenir. Bu tip atakları bir yetkilendirme fonksiyonu olan ve simetrik anahtar yapısına sahip olan MAC tekniği ile önler. AH, şifreleme işlemi için MD5 hesaplama metodu kullanır. AH protokolünün şifreleme için HMAC-MD5-96 ve HMAC-SHA-1-96 MD5 standartlarını kullanır. 66

85 ESP (Encapsulating Security Payload) ESP protokolü IP paketinin hem şifrelenmesi hem de doğrulanması için veya IP paketinin sadece şifrelenmesi veya sadece doğrulanması için kullanılır. Şekil 50: Pakete ESP uygulanması ESP protokolü IP başlığından sonra pakete ESP başlığı yerleştirir. ESP başlığından sonraki tüm veri şifrelenmektedir ve/veya doğrulanmaktadır. AH protokolünden farkı; ESP protokolü IP paketinin şifrelenmesinide sağlamaktadır. ESP kimlik doğrulama işlemleri için aşağıdaki teknikleri kullanmaktadır: DES/CBC 3DES RC5 IDEA 3 IDEA CAST Blowfish Tünelleme Protokollerin Karşılaştırılması Uygulama, güvenlik ve performans açısından tünelleme protokolleri birbirinden ayrılırlar: 1. IPSec, en güvenilir olan tünelleme protokolüdür. 2. PPTP protokolü güvenlik açısından L2TP den daha iyi ancak performans yönünden daha kötüdür. IPSec daha komplex güvenlik algoritmaları kullandığından, donanım kapasitesi yetersiz olan IPSec istemci ve sunucular paketlerin gecikmesine neden olabilir. 67

86 3. PPTP ve IPSec protokolü, aralarında mevcut bir IP bağlantısı olan hostlar arasında yapılır. Diğer yandan L2TP, aralarında ISDN, TDM, FR, ATM gibi devreler üzerinde direkt tünel kurup içinden IP, IPX, NETBEUI gibi her türlü trafiği taşıyabilir. 4. PPTP ve IPSec protokolleri, istemci ile sunucu arasında aynı anda sadece bir tünel kurarlar. Diğer yandan L2TP, birden fazla oturum açabilir. Bu yönüyle, bazı ağ uygulamaları için L2TP oldukça uygun bir tünelleme protokolüdür. Yukarıdaki maddelerden de anlaşılacağı gibi, L2TP daha çok özel uygulamalar için kullanılan bir protokoldür. Diğer yandan PPTP ve IPSec protokolleri daha genel uygulamalar için kullanılan protokollerdir. 3.8-Güvenlik Açısından VPN Tipleri Router - Router VPN On-Demand Tünelli VPN İstemci ve sunucu tarafını birbirine bağlayan yönlendiriciler arasında güvenli bir VPN bağlantısı kurulmasını sağlar. Aynı anda birden fazla bağlantı desteklenir. Her iki taraftaki router, anahtar ve şifreleme algoritmalarını desteklemelidir. Şekil 51: On-demand VPN yapısı Çoklu Protokol On-Demand Tünelli VPN On-demand tünelli VPN in gelişmiş halidir, tek farkı IP protokolünü desteklemeyen istemcilerinde yönlendiriciler arasında kurulan transparent tüneller üzerinden VPN bağlantılarını sağlamasıdır. 68

87 Şekil 52: Çoklu protokol/on-demand tünelli VPN yapısı Şifreli Oturumlu On-Demand VPN Bu VPN tipinde yönlendiriciler arasında her bir istek için ayrı bir VPN tüneli kurulur ve her bağlantı (oturum) şifreli bir yapıdadır. Şekil 53: Şifreli oturumlu On-demand VPN yapısı Firewall-Firewall VPN On-Demand/Firewall Tünelli VPN Hem müşteri hem de merkez tarafında firewall mevcuttur. Şekil 54: On-demand/Firewall VPN yapısı 69

88 Çoklu Protokol On-demand/Firewall Tünelli VPN Her iki taraftaki yönlendirici aynı protokolü destekleyen yapıda olmalıdır. Protokol olarak çoklu protokol tünel desteği olan IPSec protokolü kullanılır. Şekil 55: Çoklu protokol/on-demand VPN İstemci Tabanlı VPN Diğer iki VPN tipinden farkı şifreleme ve tünel mekanizmalarının VPN istemci yazılımı üzerinde çalışmasıdır İstemci-Firewall VPN VPN bağlantısı, istemci ve firewall arasında gerçekleşir. VPN istekleri firewall tarafından karşılanır. Şekil 56: İstemci-Firewall VPN yapısı İstemci-Sunucu VPN Uçtan uca bir VPN bağlantısıdır ve istemci-firewall VPN bağlantısına göre daha güvenlidir. Şekil 57: İstemci-sunucu VPN 70

89 3.8.4-Doğrudan VPN Diğer VPN tiplerinden farkı VPN trafik akışının tek yönlü yapılmasıdır. İki uç arasında kurulan VPN bağlantısı tek yönlüdür ve veriler OSI modelinin 5. katmanında (oturum katmanı) enkript edilmektedir. Bu amaçla kullanılan protokol SOCKSv5 protokolüdür. 2 yönlü ve tek yönlü VPN yapısının karşılaştırılması aşağıda anlatılmaktadır: Tek yönlü VPN bağlantı yapısı daha güvenlidir. 2 yönlü VPN yapısında kaynak ve hedef adresler kullanılır. Tek yönlü (doğrudan) VPN de sadece hedef ve kaynak adresleri değil, kullanıcı ID, zaman ve uygulama parametreleri de kullanılır. Paketlerin içeriğine göre erişim kontrolü de yapılabilir. Doğrudan VPN de IP adres spoofing riski ortadan kalkmıştır, fakat 2 yönlü VPN ler bu tip risklere karşı açıktır. Doğrudan VPN yapısında şifreleme 5. katmada (oturum katmanı) yapılır ve şifreleme mekanizması bu nedenle daha iyidir. Şekil 58: Doğrudan VPN yapısı 71

90 4-VİDEO KONFERANS 4.1- Video Konferans Nedir Yeni teknolojik gelişmelere paralel olarak günden güne daha da bir önem kazanan ve uzaktan eğitimin önemli bir aracı olan video konferans sistemlerinin etkin kullanımı, video konferans yapıldığında göz önünde bulundurulması gereken asgari hususların neler olabileceği ve dikkat edilmesi gereken noktalarla ilgili öneriler oluşturmaktadır. Bu çalışmada, video konferans sistemi ile ilgili yapmış olduğumuz önceki çalışmalarımızda edindiğimiz tecrübeler ışığında, uzaktan eğitim yapılabilmesi için kurulacak sistemin tasarımı, video konferans sistemlerinin avantajları ve dezavantajları, kullanım alanları, türleri ve sistemi oluşturan temel bileşenleri ele alınacak ve öneriler sunulacaktır. Gelişen iletişim teknolojileri sayesinde dünyamız küresel bir hal almaktadır. Dünya üzerindeki herhangi bir kıtaya ulaşmak, bilgi erişimi sağlamak, artık çok daha kolay hale gelmiştir. İşte, küreselleşmenin getirdiği rekabet ortamı, insanların bilgiye en hızlı şekilde ulaşması ve bunu en iyi şekilde en az maliyetle işlemesi gereğini ortaya koymuştur. Gelişmiş ülkelerin önemli bir bölümü farklı uzaktan eğitim sistemleri kullanarak, eğitim imkânları sağlamaktadırlar. Ülkemizde de Uzaktan Eğitim olgusu yoğun bir biçimde benimsenmekte ve bu alanda önemli adımlar atılmaktadır. Uzaktan Eğitimin yaygın ve hızlı bir şekilde hayata geçirilmesinde Video Konferans Sistemleri büyük rol oynamaktadır Video Konferans Sistemlerinin Temel Bileşenleri İnternet üzerinden video konferans için geliştirilmiş kaliteli video konferans üniteleri vardır. Bu video konferans ünitelerinde sese duyarlı hareketli kameralar, alıcısı güçlü kaliteli mikrofonlar, güçlü hoparlörler bulunmaktadır. Bunlara ilave olarak büyük ekranlı televizyon kullanarak IP (İnternet Protokol) üzerinden video konferans yapmak mümkündür. Konferans ünitesi içerisinde kendi yazılımı ve ayarların yapılabileceği diğer tüm menüler mevcuttur. Üniteye verilecek olan gerçek IP adresinin yanı sıra, ağdaki diğer tüm adreslemelerin (alt ağ maskesi, varsayılan geçit yolları, DNS adresleri vs.) doğru bir şekilde girilmesi gerekmektedir. Bu kitlerin kullanımı oldukça basit ve kullanışlıdır. Görüşmek istediğiniz kişi ya da kişilerin IP numarasını çevirerek IP numarası üzerinden doğrudan bağlanılabilir. Yalnız bağlantı kurulacak kişinin o an İnternet e bağlı bulunması ve görüşme isteğinin kabul edilmesi gerekir. 72

91 Video Konferans Ünitesi Video konferans ünitesi, kullanıcının doğrudan temasta olduğu cihazdır. Kulanım kolaylığı ve video konferans oturumu sırasında yapılabilecekler, büyük ölçüde kullanılan video konferans ünitesinin yetenekleriyle orantılıdır. Video konferans ünitesine bağlanan kamera ve mikrofon ile karşı tarafa iletilecek ses ve görüntü sağlanırken, TV veya monitörde diğer tarafın görüntüsü izlenip hoparlör veya kulaklık ile konuşmalar dinlenebilir. Video konferans sistemi seçilirken ilk olarak göz önünde bulundurulması gereken ses ve görüntü kalitesidir. Değişik bağlantı hızlarında ses ve görüntü kalitesi incelenmelidir. Toplantı sırasında iyi bir ses iletişimi zorunludur. Bu nedenle sesin kalitesi ve görüntü ile senkronizasyonu kontrol edilmelidir. Kullanılan video konferans sistemi cihazı bir hoparlör bağlantısını desteklemelidir. Bunun yanı sıra kullanılan mikrofonun uzak mesafedeki sesleri algılaması gerekir. Kesintisiz ve kaliteli bir yankı önleme sistemi gerekir. Video konferans sırasında sunum yapılması yaygın bir uygulama olduğundan tercih edilen cihazın sunu desteğine sahip olması gerekir. Video konferansta ekran çözünürlüğü yüksek, kaliteli ve büyük bir monitörün kullanılması, her açıdan uygun olacaktır. Bu monitör üzerinde, yazılar daha net görünür, birçok pencere açılabilir, yeri ya da boyutu değiştirilebilir. Bilgisayarda Windows tabanlı bir işletim sistemi; birçok uygulama ve video konferansın kullanılmasına olanak verir. Video konferans ünitesi üzerinde sese duyarlı kamera (Voice Finder TM) ile izleme sistemi vardır. Video konferansı tamamen elden bağımsız (hands free) hale getiren, sisteme eklenebilen opsiyonel bir uygulamadır. Bu teknoloji ana konuşmacıları tanımak ve bunları diğerlerinden ayırabilmek için tasarlanmıştır. Ani ses değişikliklerine (öksürük ya da kapı çarpması gibi) göre hareket etmez. Uzaktaki kullanıcılar konuşmayı masanın başında oturuyormuş gibi takip edebilirler Çok Servisli Yönlendirici Video konferans sistemleri için IP tabanlı ağlar kullanıldığından, IP adreslerinin yönlendirilmesi için yönlendirici cihazı kullanılmalıdır. Video konferansın IP üzerinden problemsiz çalışabilmesi için bu yönlendiricileri data, ses ve görüntüyü desteklemesi gerekir. Video konferans sisteminde, yüksek data iletişim performansı ve servis kalitesi desteği, en önemli iki özelliktir. Yönlendiricilerin ses ve veri entegrasyonunu, yurt dışı bağlantılar için de ISDN (Integrated Services Digital Network) destekli olması gerekir. 73

92 Santral Üniteleri Bu üniteler, yapılacak video konferanslarda Türk Telekom tarafından sağlanan hatların kontrolünün ve ayarlarının gerçekleştirildiği ünitelerdir. Örneğin, ISDN/PRI (Integrated Services Digital Network / Primary Rate Interface) hattını video konferans ünitesine bağlayabilmek için santral ünitesi gereklidir. Santral üniteleri Frame Relay sistemlerinde ise, istenilen bant genişliğinde istenilen noktalar arası bağlantısı için gerekli ayarlamaların yapılmasına ve kontrol edilmesine imkân tanır. Telefon santrali işlevlerini karşılamayan sadece dönüştürücü olarak çalışan bazı cihazlar da bulunmaktadır Çoklu Konferans Üniteleri Aynı anda farklı birkaç noktadaki kişilerle çoklu video konferans yapılabilmesi için MCU (Multipoint Conferencing Unit) cihazı kullanılması gerekir. Çoklu konferansta katılımcılar doğrudan MCU cihazına bağlanırlar. Video, ses ve veri akışının tüm katılımcılara düzenli bir şekilde dağıtılması için yapılandırma ayarları yapılmalıdır. Bu cihazlar çoklu kullanımda, ekranı aynı andaki nokta sayısına böler. Bu görüntülerden bir tanesi katılımcının kendi görüntüsü, diğerleri ise o anda konuşan katılımcıların görüntüsüdür. İkiden fazla bölünme durumu konferansı yöneten kişinin tercihine bağlıdır Geçit Yolları IP üzerinden video konferans sistemlerinin (H.323) giderek ağırlık kazanması ile var olan ISDN ve V.35 bağlantılı sistemlerle video konferans gereksinmeleri hızla artmaktadır. Haberleşme altyapısından kaynaklanan zorunluluk ve fiyat avantajları göz önüne alındığında, değişik protokol kullanan sistemlerle çalışmak gerekir. Değişik ortam ve protokolleri kullanan video konferans sistemleri arasında haberleşmeyi sağlayan cihazlara video geçit yolu (gateway) denir. Başlıca H.320, H.323, H.324 standartlarını kullanan sistemleri aralarında konuşturmak için kullanılırlar. Bu cihazlar temel olarak bir protokol çevirici cihazlardır. Şehirlerarası veya milletlerarası kiralık hattı olan kuruluşlar, bu cihazları kullanarak, her iki uçtaki kullanıcılarını, o uçtaki yerel telefon tarifesi üzerinden kendi ağlarına bağlayabilirler. Yani, IP tabanlı ağın ISDN ağıyla birleştirilmesi olayıdır. Örnek olarak, Ankara-İstanbul arası 74

93 kiralık hattı olan kurumlar da, aynı düzeneği kurarak, Ankara'dan İstanbul a bağlanıp oradan ISDN'e geçiş yaparak, şehir içi ISDN tarifesine göre ödeme yaparlar Protokoller ve Standartlar Video konferans sistemlerinde ses ve görüntü kalitesini etkileyen unsurların başında standartlar gelmektedir. Kullanılan ağ sistemlerine göre seçilen protokoller ve standartlarda ortak seçim yapılmalıdır. Buna bağlı olarak sistemin ve cihazların bu standartları desteklemesi gerekir. Sistemin verimli ve problemsiz bir şekilde çalışabilmesi, ses ve görüntü kalitesinde maksimum noktaya ulaşmak, bu etkenlere bağlıdır. Önceleri üretici firmaların geliştirdikleri özel protokollerini kullanırken, farklı markalar arasında uyumluluk problemleri bulunuyordu. Bu da video konferans sistemlerinin yeteneklerini ve kullanımını kısıtlamaktaydı. Bu nedenle ağ sistemlerinde video konferans iletişimini sağlamak için bazı standartlar geliştirilmiştir. Üretici firmalar belirlenen bu standartlara uygun cihaz üretmek zorundadırlar. Bu standartlar sayesinde herhangi bir yapıdaki bilgiyi (veri, ses, görüntü) herhangi bir kullanıcıya ulaştırmak mümkün hale gelmiştir. Artık aynı standardı destekleyen herhangi iki değişik üreticinin ürünü olan video konferans sistemleri ile veri, ses ve görüntü iletimi sorunsuz olarak sağlanabilmektedir. International Telecommunication Union (ITU)'nın çalışmaları sonucu video konferans standartlaşması tamamlanmıştır. Video konferans sistemi kurulumunda ürünlerin ortak çalışmalarında sorun oluşmaması için ITU-T (H.320/H.323/H324) standartlarına uygun olmalıdır. Aksi halde görüntü kalitesini belirleyen saniyede gönderilen resim sayısı (frame rate) ve resmin çözünürlüğünde (çerçevedeki tanımlı nokta sayısı - pinel/frame) problemler yaşanacaktır. 75

94 Video konferans sistemlerinin birbirleriyle uyumlu çalışması (interoperability) için ITU-T şemsiyesi altında tanımlanan standartlar ve gerekli asgari teknik özellikleri belirten alt standart aileleri Tablo 4 te ve Tablo 5 de verilmiştir. Standart Açıklama H.261 ISDN Tabanlı görüntü sıkıştırma standardı. Görüntünün belli oranlarda sıkıştırılıp kodlanarak iletimini sağlar. H.263 IP ve GSTN tabanlı video konferans uygulamalarında kullanılan görüntü sıkıştırma standardı. H.320 ISDN Tabanlı video konferans temel iletim standardı. Noktadan noktaya ya da çoklu noktalar arasında devre anahtarlamalı haberleşme ağları üzerinden ses ve görüntü aktarımındaki protokollerini belirler. H.323 IP Tabanlı video konferans temel iletim standardı. Ağ topolojisinden bağımız, Intranet yada Internet üzerinden ses, görüntü ve data (video konferans) aktarımındaki modelleri tanımlar. Paket tabanlı olduğu için, ağdaki yoğunluktan etkilenir. Görüntü ve ses bilgilerinde UDP protokolü kullanılır. Eşzamanlı uygulamalar olduklarından kaybolan paketler tekrar gönderilmezler. Servis kalitesi (QoS) garanti edilememektedir. H.324 Telefon ağlarında (GSTN) kullanılan video konferans temel iletim standardı. V.34 Modemlerle yüksek kalite ses ve video sıkıştırması kullanılarak düşük bant genişliğinde ses, görüntü ve veri iletiminin yapılmasını tanımlar ve bunlarla ilgili genel yöntemleri belirtir. T.120 Video konferans veri iletim standardı. Çoklu veri konferansında doküman ve grafik verilerinin güvenilir bir şekilde, gerçek zamanlı olarak nasıl tanımlanacağını tanımlar. Değişik marka ve ürün tiplerinin aralarında uyumluluk sağlanması, ISDN, PSDN, CSDN, LAN üzerinden bağlantılı çoklu konferans katılımcılar arasında veri paylaşımının sağlanmasını tanımlar. G.711 ISDN tabanlı sistemlerde kullanılan ses kodlama standardı. Üst limit; 3.4 khz/s ve kbit/s bilgi. G.722 ISDN Tabanlı sistemlerde kullanılan geliştirilmiş ses kodlama standardı. Üst limit; 7 khz/s ve 48/56/64 kbit/s bilgi. G.728 IP ve GSTN tabanlı uygulamalarda ses kodlama standardı. Üst limit; 3.4 khz/s ve 8-12 kbit/s bilgi. Tablo 4: Video Konferans Sistemlerinde Kullanılan Başlıca Standartlar 76

95 ITU - STANDARTLAR H.320 H.321 H.322 H.323 v1/v2 H.324 Onay Tarihi / Darbant anahtarlamalı dijital ISDN Ağ Görüntü Ses H.261 H.263 G.711 G.722 G.728 Genişbant ISDN ATM LAN H.261 H.263 G.711 G.722 G.728 Garantili bant genişlikli paket anahtarlamalı ağlar H.261 H.263 G.711 G.722 G.728 Bant genişliği garantisi olmayan paket anahtarlamalı ağlar (Ethernet) H.261 H.263 G.711 G.722 G.728 G.723 G.729 PSTN veya POTS analog telefon sistemi H.261 H.263 G.723 Çoğullama H.221 H.221 H.221 H H.223 Kontrol H.230 H.242 H.242 H.245 H.245 H.242 H.230 Çoklu Nokta H.231 H.231 H.231 H H.243 H.243 H.243 Veri T.120 T.120 T.120 T.120 T AAL I.363 I.400 AJM & TCP/IP V.34 Haberleşme I.361 TCP/IP Modem Arabirimi PHY I.400 Tablo 5: Video Konferans İletiminin ITU Şemsiyesi Altındaki Standartları 77

96 4.3- Video Konferans İletiminde Görüntü ve Ses Kalitesi Video Konferans Sistemlerinde görüntü ve ses kalitesinin mümkün olduğunca en yüksek seviyede olması gerekir. Çünkü iletişim kalitesi doğrudan bu parametrelere bağlıdır. Görüntü ve ses kalitesi istenen seviyede elde edilemediği durumlarda, sisteme yapılmış olan yatırımın boyutu ne olursa olsun, kullanımı pratik olarak mümkün olmayacaktır Servis Kalitesi Ayarları Video konferansta görüntü ve ses kalitesindeki en önemli unsur, servis kalitesi ayarlarıdır. Veri iletişimi sırasında servis kalitesi (QoS) ayarları çok kritik değildir, paket kayıpları ve gecikmeler tolere edilir. Bu durumda kullanıcı yalnızca sistemin yavaşladığını görür. Ancak video konferansta geciken paketler veya tekrar gönderilen paket hiç bir işe yaramayacaktır. Çünkü 1 saniye önceki görüntünün gösterilmesi mümkün değildir. Bu nedenle video konferans için kullanılan altyapı da, video konferansın gereksinim duyduğu servis kalitesi değerlerini (gecikme, paket kaybı, rezerve bant genişliği) tam olarak sağlamalıdır. ISDN ve bina içi ağ yapıları gerekli servis kalitesini zaten sağlarlar. Ancak Türkiye şartlarında daha çok kullanılan IP üzerinde video konferans için servis kalitesi ayarları özel olarak yapılmalıdır. Özellikle veri hattının telefon, faks, video, veri tarafından ortak kullanıldığı durumda her bir trafiğin gereksinim duyduğu servis kalitesi ayarları ayrı ayrı yapılmalıdır. IP üzerinden video konferans yapılırken sesin kesilmesi, anlaşılmaz hale gelmesi, görüntünün kesik kesik gelmesi, bozulmuş bir görüntü elde edilmesi gibi problemler bu şekilde önlenir. Aynı zamanda video konferans sırasında telefondaki ses kalitesinin bozulması, veri iletişiminin kesilmesi veya çok yavaşlaması önlenir Kullanılan Bant Genişliği Video konferans sistemlerinde elde edilen görüntü kalitesi öncelikle belirlenen bant genişliğine bağlıdır. En uygun görüntü kalitesi, yapılmak istenen uygulamaya göre değişmektedir. Bu nedenle sistem kurulmadan önce, aynı bina içinde video konferans cihazları üzerinden ayar yapılarak gerekli minimum bant genişliği belirlenmelidir. Video konferans cihazları, aynı bant genişliği için, uzak noktalarda da aynı görüntü kalitesini verir. Bunun içinde altyapı servis kalitesi ayarları yapılmış olmalıdır. 78

97 Kullanılan Sıkıştırma Algoritması Video konferans uygulaması sırasında, ses ve görüntü sıkıştırılarak gönderilir. Görüntü için H.261 ve H.263 standartları desteklenmelidir. Ses sıkıştırmasında G.711 yüksek hızlarda yüksek kalite sağlanırken, G.722 ve G.728 düşük hızlarda iyi bir ses sıkıştırması ile görüntüye daha fazla yer bırakmaktadır. Video konferans iletişiminde tanımlanan standartlar Tablo 4 ve Tablo 5 de verilmiştir Görüntü Boyutu Video konferans cihazları, ekrandaki görüntüyü sürekli aynı boyutta tuttukları için daha büyük boyutlu görüntülerde daha ince detaylar gözükmektedir. Özellikle çok kişinin katıldığı toplantılarda yüz detaylarını görmek için büyük boyut gereklidir. 352x288 pixel boyutu, 176x144 pixel boyutundan daha iyi bir görüntü sağlar. Görüntünün yakın mesafeden alınıp iletilmesi, karşı tarafa iletilen görüntünün netliğini artırmaktadır Saniyedeki Kare Sayısı Saniyedeki kare sayısı görüntünün akıcılığını belirler. Yüksek kare sayısı akıcı bir görüntü sağlarken, düşük kare sayısı kesik kesik ancak daha ince detaylı görüntü verir. Çoklu video konferans uygulamalarında da gelen görüntülerin ekranda bölünmesi gelen diğer görüntülerin saniyede gelen kare sayısını azaltacağından görüntü kalitesi düşmektedir Yankının Engellenmesi ve Mikrofon Kalitesi Video konferans sisteminde öncelikli olarak görüntü ve sesin iletilmesi için hedeflenmiştir. Herhangi bir toplantının veya uzaktan eğitimin video konferans sistemi ile verimli olarak gerçekleştirilmesi için sesin pürüzsüz olarak iletilmesi gerekecektir. Video konferans sistemlerindeki yaşamış olduğumuz problemlerden biri de sesin yankılı bir şekilde iletilmesidir. Yani bizim iletmiş olduğumuz sesin karşıya iletildikten sonra tekrar bize geri dönmesi olayıdır. Çok yönlü video konferans sistemlerinde bulunan yankının engellenme (Echo Cancellation) özelliği bu problemi ortadan kaldırmaktadır. Bu nedenle video konferans uygulamalarında, karşı tarafın sesinin mikrofondan geri dönerek rahatsız edici bir yankı oluşturmasını önleyen bu özellik, video konferans ünitelerinde mutlaka bulunmalıdır. Ayrıca kullanılan mikrofonun kalitesi, konuşmaların net bir şekilde duyulmasını sağlamalıdır. 79

98 Ses ve Görüntünün Eşzamanlı İletimi Video konferans sistemlerinin uygulanabilirliği alınan verime bağlıdır. Verim ise ses ve görüntünün net bir şekilde aktarımının yanı sıra, iletimin eşzamanlı yapılmasıdır. Yani, ses ve görüntünün aynı anda iletilmesidir. Karşıdaki sesin, görüntüden önce veya sonra gelmesi oldukça rahatsız edici bir durumdur. Ses-görüntü senkronizasyonu ses ile görüntünün tam olarak uyumlu olmasını sağlar. Ses-görüntü senkronizasyonu, video konferans ünitesinin bir özelliğidir ve kullanılan bant genişliğinden ve mesafeden bağımsızdır. Aynı şartlardaki IP üzerinden video konferans uygulamalarında, oda tipi video konferans üniteleri masaüstü video konferans ünitelerinden ses ve görüntünün eşzamanlı iletimi yönünden daha iyi neticeler sağlamıştır Teknoloji Seçimi Teknoloji, kurulacak olan video konferans sisteminin en başında gelmektedir. Projenin gerçekleşeceği limanların altyapısı ve teknolojik imkanları göz önünde bulundurulmalıdır. Ayrıca, kiralık hattın sağlayacağı destek karşımıza çıkmaktadır. Hedeflenen bant genişliğinin sağlanması için karşımıza kaynak olarak Türk Telekom alt yapısı çıkmaktadır. Öte taraftan ileri zamanlarda yeni belirlenecek video konferans salonlarına tüm sistemle yüzde yüz uyumlu ağ cihazları yerleştirilmelidir. Böylece komple sistem bazında performans ve verimin arttırılması şeklinde bir çözüme gidilebilir Sisteme Ait Donanımların Belirlenmesi Kurulacak video konferans sistemine ait tüm donanımların detaylı olarak belirlenmesi gerekir. Projede görev alacak teknik elemanlar tarafından tüm donanımlara ait teknik şartnameler çok hassas olarak hazırlanmalıdır. İhale usulü ile alınacak olan donanım ve cihazların seçimi büyük dikkat gerektirmektedir. Alınacak olan cihazların performansı, güvenilirliği, sisteme uyumluluğu, yeni teknolojileri destekler yönde olması ve garanti süreleri gibi aranan genel özelliklerin dışındaki detaylar maddeler halinde şartnamelerde belirtilmelidir. Ayrıca kullanılacak bağlantı birimleri, kablolar ve konnektörler içinde ağ standartları göz önüne alınarak seçim yapılmalıdır. Sık kullanılabilecek ve acil ihtiyaç gerektirebilecek ürünler için ise her merkezde yedek bulundurmak her yönden fayda sağlayacaktır. 80

99 Kurulacak olan video konferans sisteminde birden fazla konferansı eş zamanlı olarak kontrol edip bunlara ev sahipliği yapabilecek nitelikte bir merkezi kontrol ünitesi olmalıdır. Toplantı odasına konulabilecek yapıda salon tipi video konferans cihazları ve tek bir kullanıcıya yönelik olan, bilgisayar ile birlikte kullanılabilecek yapıda taşınabilir ve masaüstü bilgisayarlarla birlikte kullanılabilecek video konferans ünitelerine ihtiyaç bulunacaktır. Bu ünitelerin konferans ve MCU cihazının yönetimini sağlayacak bir yönetim yazılımı bulundurmalıdır Ağ ve Sistem Yönetimi Ağ ve sistem yönetiminde bakanlık bazında merkezi, genel olarak hiyerarşik bir yönetim olmalıdır. Ağ yönetiminde bakanlığımızın bilgi işlem merkezleri görev almalıdır. Ancak video konferans sisteminin kontrolü ve yönetimi için, bu konuda uzman teknik iki kişi görevlendirilmelidir. Bununla birlikte teknik elemanlara yardımcı ve laboratuarlarda görevlendirilecek iki teknisyene de ihtiyaç bulunacaktır. Ağ ve sistem yönetiminde dikkat edilmesi gereken unsurları şöyle sıralanabilir. Ağ konfigürasyon bilgileri ve dahilindeki düğümlerde yapılan gerekli bağlantı ve cihaz konfigürasyonları kaydedilerek saklanmalıdır. Ağ yapısı içerisinde yayın trafiğini filtrelemek ve güvenlik açısından güvenlik duvarı yerleştirmek sisteme faydalı olacaktır. Sistemdeki düğümlere gerçek IP adresi vermek daha sağlıklı olacaktır. Sistem, kampüsdeki farklı ağ çalışma grupların yayınlarından etkilenmemeli ve mantıksal olarak bunlardan bağımsız kalmalıdır. Sistemde çoğullayıcı olarak anahtar kullanılmalıdır. Tasarlanan topolojiye uygun bir biçimde kampüsler arasında yönlendirme (routing) işlemi yapılmalıdır. Bu yönlendirme ile ağ trafiğinin sürekliliği sağlanacaktır. Bant genişliği ve erişim izinleri yönlendirme konfigürasyonunda bulunmalıdır. Tasarlanan ağ içerisindeki aktif cihazların yönetimi için kurumumuzun bir ağ yönetimi yazılımı (Network Management Software) olmalıdır. Kurulan program vasıtası ile alınan anahtar cihazları uzaktan izlenebilmeli ve yönetilebilmelidir. Ayrıca, yazılım aracılığı ile ağ hakkındaki gerekli istatistik bilgiler alınabilir hale getirilmelidir. 81

100 4.7- Eğitim Yapılacak olan bu çalışmadaki tüm aşamalar için gerekli olan teorik ve pratik bilgiler, bakanlık tarafından görevlendirilecek teknik personellere eğitim verilmesi gerekir. Proje kapsamında; görev alacak teknik elemanların bu konuda yetiştirilmesi ve sistemde meydana gelebilecek küçük arızaların giderilmesi için alacakları eğitim semineri genel olarak aşağıda maddeler şeklinde belirtilen konuları kapsamalıdır. Ağ sistemleri ve yapısı hakkında genel bilgiler verilmelidir. Ağ sistemlerinde kullanılan cihazlar ve çalışma prensipleri hakkında bilgi verilerek, uygulamalarla gösterilmelidir. Ağ sistemlerindeki aktif elemanların konfigürasyonları uygulamalı olarak gösterilmelidir. Video konferans sistemleri genel bileşenleri tanıtılarak, sistemde kullanılan video konferans ünitelerinin kullanımı ve bütün ayarlamaları uygulamalı olarak öğretilmelidir. Yönlendiriciler ve yönlendirme hakkında bilgi verilerek, uygulamaları yapılmalıdır. Video konferans sisteminin yönetimi ve işletilmesi hakkında bilgi verilerek, sistemin çalıştırılması uygulamalı olarak gösterilmelidir. Eğitim sonunda kursiyerlere bu eğitimi aldıklarına dair bir katılım belgesi verilmelidir. Eğitim, sistemi kuracak olan firma tarafından verilebileceği gibi, konuyla ilgili uzman başka bir anlaşmalı kurum aracılığı ile de verilebilir. Ancak, eğitimin bu sisteme uygun laboratuvar imkânlarında verilmesi gereklidir. 82

101 5- GTYS (GEMİ TRAFİK YÖNETİM SİSTEMİ) Bakanlığımızın gerçekleştirmekte olduğu Gemi Trafik Yönetim Sistemi (GTYS) projesi ile şuan üç ana bölgede (İzmit, İzmir ve Mersin) Gemi Trafik Hizmetleri Merkezi (GTHM) ve daha önceden yapılmış olan ve mevcuttaki GTYS ye entegrasyonu sağlanacak olan Türk Boğazları Gemi Trafik Hizmetleri Sistemi (TBGTHS-VTS) Ankara da tesis edilecek olan Gemi Trafik Yönetim Merkezi (GTYM) tarafından izlenebilecektir. GTYS projesi önümüzdeki yıllarda geliştirilerek ülkemizin tüm sahil şeridinde uygulanması düşünülmektedir. Mevcut Gemi Trafik Yönetim Sisteminin yapısı Şekil 59 de gösterilmektedir. Şekil 59: GTYS Yapısı 83

102 Kurulmakta olan GTYS ile ilgili bölgelerde deniz trafik emniyetini ve verimliliğini artırmak ve deniz çevresini korumak amacıyla gemilerle etkileşim içinde, gemi trafik hareketlerini izlemek, düzenlemek, organize etmek ve yönetmek hedeflenmektedir. Ayrıca kurulacak sistem sayesinde GTHM sistemlerinin bağlanacağı GTYM ile bu bölgelerdeki Liman Başkanlıklarımızın ve diğer Liman Başkanlıklarımızın daha verimli ve emniyetli kullanabilmesi amaçlanmıştır. Liman Başkanlıklarının merkeze entegrasyonu sayesinde kendi liman bölgelerindeki Trafik Gözetleme İstasyonlarında (TGİ) üretilecek olan Video, Radar, OTS, VHF, RYB ve Meteo gibi verilere oluşturulabilecek olan subdomain tgi.udhb.gov.tr adresi üzerinden ulaşma imkanı sağlanmış olacaktır. Ayrıca kendi liman bölgelerindeki demirleme alanlarını, çekek yerlerini, demirleme alanındaki tehlikeli madde taşıyan gemileri takip edebileceklerdir. Örnek olarak Resim 7 de Yalova Liman Başkanlığı sorumluluk sahasındaki gemi trafiğini izleyebilmek için Çınarcık ta ve Topçular da kurulmuş olan TGİ lerin verilerine ulaşabilecektir. Resim 7: Yalova Liman Başkanlığı İçin İzlenebilir TGİ'ler 84

103 İzmit GTHM Bu imkan ile Liman Başkanlarımızın bu sistemi etkin şekilde kullanabilmesi için GTHM lerdeki eğitim salonlarında verilecek olan kullanıcı eğitimi ile sistemin Başkanlarca kolay kullanımı sağlanmış olacaktır. Aşağıdaki tablo ve resimlerde GTHM lerin ve TGİ lerin yerleri ve işlevleri gösterilmektedir. Resim 8: İzmit GTHM ve TGİ Yerleri ve İşlevleri GTHM / TGİ İl İlçe Bölge İzmit (GTHM) İzmit Körfez Çınarcık Yalova Çınarcık Topçular Yalova Topçular Kaytazdere Yalova Kaytazdere Tablo 6: İzmit GTHM ve TGİ Yerleri 85

104 İzmir GTHM Resim 9: İzmir GTHM ve TGİ Yerleri ve İşlevleri GTHM / TGİ İl İlçe Bölge İzmir (GTHM) İzmir Karşıyaka Aliağa İzmir Aliağa Dikili İzmir Dikili Çeşme İzmir Çeşme Foça İzmir Foça Güzelbahçe İzmir Güzelbahçe Amberseki İzmir Karaburun Hasseki İzmir Karaburun Küçükbahçe İzmir Karaburun Küçükkuyu Çanakkale Ayvacık Ayvalık Balıkesir Ayvalık Sivrice Çanakkale Ayvacık Tablo 7: İzmir GTHM ve TGİ Yerleri 86

105 Mersin GTHM Resim 10: Mersin GTHM ve TGİ Yerleri ve İşlevleri GTHM / TGİ İl İlçe Bölge Mersin (GTHM) Mersin Mersin Tuzla Adana Karataş Yumurtalık Adana Yumurtalık Arsuz Hatay İskenderun İskenderun Hatay İskenderun Erdemli Mersin Erdemli Taşucu Mersin Taşucu Karataş Adana Karataş Tablo 8: Mersin GTHM ve TGİ Yerleri 87

106 Liman Başkanlıklarımızın uygulanabilecek olan bu sistemi artırabilmeleri için Liman Başkanlıkları ile aramızdaki bağlantı hızlarının belli miktarlarda artırılması gerekmektedir. GTYS tasarlanırken verilerin toplanacağı yerler olan TGİ lar ile verinin ilk olarak iletilecek olduğu GTHM ler arasında bağlantı hızı en fazla 4 Mbps olarak planlanmıştır. Bu bilgileri göz önüne aldığımızda her liman için en az 4 Mbps hız artırımı ile hem kendi bölgelerini kapsayan TGİ verilerine ulaşmak hem de kullanıcıların genel sıkıntısı olan erişim yavaşlığının önüne geçilmiş olacaktır. Tablo 9 da Liman Başkanlıklarımızda şuan uygulanan veri iletişim hızımız ve TGİ verilerine erişilebilmesi ve bağlantı esnasında sıkıntı yaşanmaması için öngörülen hızlar verilmiştir. LİMAN BAŞKANLIĞI ADI BAĞLANTI HIZ Mbps PLANLANAN HIZ İstanbul Liman Başkanlığı Metro Mersin Liman Başkanlığı TTVPN Antalya Liman Başkanlığı TTVPN Çanakkale Liman Başkanlığı TTVPN İzmir Liman Başkanlığı TTVPN İzmit Liman Başkanlığı TTVPN Samsun Liman Başkanlığı TTVPN Trabzon Liman Başkanlığı TTVPN Aliağa Liman Başkanlığı TTVPN 5 10 Bodrum Liman Başkanlığı TTVPN 5 10 İskenderun Liman Başkanlığı TTVPN 5 10 Taşucu Liman Başkanlığı TTVPN 5 10 Tuzla Liman Başkanlığı TTVPN 5 10 Ambarlı Liman Başkanlığı TTVPN 4 8 Bandırma Liman Başkanlığı TTVPN 4 8 Çeşme Liman Başkanlığı TTVPN 4 8 Fethiye Liman Başkanlığı TTVPN 4 8 Gemlik Liman Başkanlığı TTVPN 4 8 Kuşadası Liman Başkanlığı TTVPN 4 8 Marmaris Liman Başkanlığı TTVPN 4 8 Rize Liman Başkanlığı TTVPN 4 8 Silivri Liman Başkanlığı TTVPN 4 8 Yalova Liman Başkanlığı TTVPN

107 Alanya Liman Başkanlığı TTVPN 2 6 Amasra Liman Başkanlığı TTVPN 2 6 Anamur Liman Başkanlığı TTVPN 2 6 Ayancık Liman Başkanlığı TTVPN 2 6 Ayvalık Liman Başkanlığı TTVPN 2 6 Bartın Liman Başkanlığı TTVPN 2 6 Botaş Liman Başkanlığı TTVPN 2 6 Bozcaada Liman Başkanlığı TTVPN 2 6 Cide Liman Başkanlığı TTVPN 2 6 Datça Liman Başkanlığı TTVPN 2 6 Dikili Liman Başkanlığı TTVPN 2 6 Edremit Liman Başkanlığı TTVPN 2 6 Enez Liman Başkanlığı TTVPN 2 6 Erdek Liman Başkanlığı TTVPN 2 6 Fatsa Liman Başkanlığı TTVPN 2 6 Finike Liman Başkanlığı TTVPN 2 6 Foça Liman Başkanlığı TTVPN 2 6 Gelibolu Liman Başkanlığı TTVPN 2 6 Gerze Liman Başkanlığı TTVPN 2 6 Giresun Liman Başkanlığı TTVPN 2 6 Göcek Liman Başkanlığı TTVPN 2 6 Gökçeada Liman Başkanlığı TTVPN 2 6 Görele Liman Başkanlığı TTVPN 2 6 Güllük Liman Başkanlığı TTVPN 2 6 Hopa Liman Başkanlığı TTVPN 2 6 İğneada Liman Başkanlığı TTVPN 2 6 İnebolu Liman Başkanlığı TTVPN 2 6 Karabiga Liman Başkanlığı TTVPN 2 6 Karasu Liman Başkanlığı TTVPN 2 6 Kaş Liman Başkanlığı TTVPN 2 6 Kdz.ereğli Liman Başkanlığı TTVPN 2 6 Kefken Liman Başkanlığı TTVPN 2 6 Kemer Liman Başkanlığı TTVPN 2 6 Marmara adası Liman Başkanlığı TTVPN 2 6 Mudanya Liman Başkanlığı TTVPN

108 Ordu Liman Başkanlığı TTVPN 2 6 Sinop Liman Başkanlığı TTVPN 2 6 Sürmene Liman Başkanlığı TTVPN 2 6 Şile Liman Başkanlığı TTVPN 2 6 Tatvan Liman Başkanlığı TTVPN 2 6 Tekirdağ Liman Başkanlığı TTVPN 2 6 Tirebolu Liman Başkanlığı TTVPN 2 6 Ünye Liman Başkanlığı TTVPN 2 6 Vakfıkebir Liman Başkanlığı TTVPN 2 6 Zonguldak Liman Başkanlığı TTVPN 2 6 Fırat Liman Başkanlığı TTVPN 2 6 İnebolu Liman Başkanlığı TTVPN 2 6 Karataş Liman Başkanlığı TTVPN 2 6 Manavgat Liman Başkanlığı TTVPN 2 6 Pazar Liman Başkanlığı TTVPN 2 6 Bodrum Liman Başkanlığı Ek Hizmet Binası TTVPN 2 6 Trabzon Liman Başkanlığı Ek Hizmet Binası TTVPN 2 6 Trabzon Liman Başkanlığı Sınav Salonu TTVPN 2 6 Samsun Liman Başkanlığı Ek Hizmet Binası TTVPN 2 6 İzmit Liman Başkanlığı Ek Hizmet Binası TTVPN 2 6 İstanbul Liman Başkanlığı Ek Hizmet Binası TTVPN 2 6 Tablo 9: Liman Başkanlıklarının Mevcut ve Planlanan Bağlantı Hızları 90

109 6- SONUÇ VE ÖNERİLER Sonuç olarak bu projemiz şu anda bakanlığımız tarafından uygulanmaya başlanmıştır. Taşrada bulunan Liman Başkanlıklarımızın merkeze bağlanması noktasında çalışmalarımız devam etmektedir. Bu bağlamda şu an Liman Başkanlıklarının alt yapısının hazırlanması, fiber hatlarının çekilmesi, bağlantıyı sağlayacak olan donanım cihazlarının kurulması işlemleri başlamıştır. Uygulanmaya başlanan bu VPN çalışmamız ile Bakanlığımız Liman Başkanlıklarında ki sistemlerimiz Bakanlığımız Merkez, Ek bina, Makine İkmal Müdürlükleri ve Bölge Müdürlüklerinin de dahil olduğu ulastirma.local domain sistemimize entegrasyonu yapılacak olup tek yapı şeklinde çalışacaktır. Liman başkanlıklarında ihtiyaç duyulması halinde teknik destek alınan bilgisayar firmaları çalışanlarının konularına tam hâkim olamadıkları için problem çözümü noktasında tam anlamıyla fayda veremedikleri bilinmektedir, henüz Domaine geçişi yapılmamış Liman Başkanlıklarımızda karşılaşılan en basit Java hatalarının tespiti ve çözümü noktasında bile çözüm üretemedikleri olmuştur. Domain sistemine alınan liman başkanlıklarımızın bilgisayarlarına Bilgi İşlem personellerimiz tarafından uzak kontrol sistemimiz sayesinde bağlanılarak sıkıntılarının ek bir masraf kalemi oluşturmadan çözülmesi amaçlanmıştır. Kurum personelinin Belgenet teki evrak oluşturma sıkıntısını halledebilmek için uzak kontrol sistemimiz sayesinde personelle eş zamanlı çalışarak sistemin eğitimi verilebilmektedir. Domain sistemimiz sayesinde kullanıcılar (bölge bilgisayar yöneticileri) tarafından gereksiz yere yüklenmiş olan aynı zamanda güvenlik açığı oluşturabilecek programlar tespit edilebilir yine sistemden rahatlıkla silinebilir olmuşlardır. Active Directory sayesinde kullanıcıların hatalı bir işlem yapmasının, farklı bir kişinin bir başkasına ait olan makinede oturum açma durumunun da önüne geçilmiş oluyor. Active Directory sayesinde kullanıcıların makinelerinde ihtiyaç duydukları tüm lisanslamalar ve programlar kurulabiliyor, tanıtılması gereken yardımcı donanımlarda merkez Bilgi İşlem Dairesi personeli tarafından kurulabiliyor. Networkümüze tanımlı olmayan (karşılıklı güven ilişkisi içermeyen) hiçbir cihaz networkümüze dâhil olamıyor. 91

110 Bu projenin uygulamaya alınması ile aşağıda ki maddelerde uygulanacaktır sayılı kanunun Liman Başkanlıklarımızda da uygulanabilirliğini sağlamak, Bu kanun kapsamında Bilgi İşlem Dairesi Başkanlığımızın üzerine düşen yükümlülükleri yerine getirebilmek adına yapılabilecek en uygun çözüm tüm kullanıcıların merkezi olarak yönetilebilmesidir. Bu konunun çözümü olarakta tüm uzak birimlerin VPN yapısı ile merkeze bağlanmasıdır. Merkeze bağlanmış olan tüm birimler internet erişimini bakanlık üzerinden yapacağı için bilgi işlem tarafından uygulanan güvenlik ve loglama politikaları sayesinde 5651 sayılı kanunun isterleri karşılanmış olacaktır. 2- İş verimliliğinin artmasını sağlamak, Şuan kurulmakta olan sistem sayesinde önceden yaşanan sıkıntıların birçoğunun yaşanmaması sağlanacaktır. Eski sistemlerimizde Liman Başkanlıklarımıza verilen hizmetlerin sıkıntısızca çalışabilmesi çift taraflı olarak aksaklık olmamasına bağlı idi. Bunların ilki Ankara merkez bilgi işlem tarafında ki sistemlerin sıkıntısız çalışması, diğeri liman başkanlıklarımızın internet çıkışında sıkıntı olmamasıdır. Yeni kurulan sistem sayesinde liman başkanlıkları tarafında meydana gelebilecek herhangi bir erişim sıkıntısı olmayacaktır. Tüm yük ve sorumluluk merkezde olup, sıkıntı meydana geldiğinde yerinden tespit ve hızlı çözümler ile sistemlerimizi tekrar çalışır duruma getirmek daha kolay olacaktır. Bu sayede limanlardaki personellerimiz bu tür sıkıntılarla uğraşmayıp kendi işlerine odaklı bir şekilde daha performanslı çalışabilmeleri sağlanmış olacaktır. 3- Bilgi güvenliğini sağlamak, Yalıtılmış VPN yapımız sayesinde tüm limanlarımız, bölgelerimiz, kantarlarımız local networkümüzde oldukları için hiçbir bilgimizin veri transferi noktasında dışardan yasal olmayan bir şekilde erişimin engellenmesi sağlanmıştır. Dışarıdan farklı yöntemlerle USB, CD, HDD vb. aparatlar ile sistemimize herhangi bir virüsün girmesi merkezi yönetim sistemi sayesinde işletim sistemimizin olduğu C klasörüne erişimi yasakladığı için sistemlerimizi etkileme durumu söz konusu olamıyor. Limanlarımız da kullanılmayan merkez tarafında düzenli ve sıkıntısız çalışan güvenlik duvarımız sayesinde bilişim politikaları gereği belirlenen bilgi güvenliği açığı oluşturabilecek 92

111 sitelere (yetişkin siteleri, kumar siteleri, reklam siteleri vb.) girişlerin yasaklanabilmesi mümkün olmuştur. 4- IP Telefon ve Video Konferans Sistemleri ile zaman ve para tasarrufu sağlamak, IP Telefon kullanılmasının gerekliliği: Günümüz dünyasında teknoloji son derece hızlı. Her geçen gün yepyeni ürünler, hayatımızı kolaylaştırdığı iddiasıyla piyasaya sunuluyor. Facebook, Twitter gibi sosyal paylaşım ağlarının kullanımının gün geçtikçe artması, hayatımızda yer etmesi ve internet kullanımında DSL veya fiber gibi geniş bant internetin tercih edilmesi; teknolojiye yakın olmayı sevdiğimizin ve istediğimizin önemli göstergeleri. Teknolojinin çok hızlı eskidiği bu dönemde, her türlü teknoloji yatırımının doğru yapılması son derece önemli, çünkü gelişemeyecek bir teknoloji ürününe yapılacak bir yatırım, kısa süre sonra gelişen ihtiyaçları karşılayamayacak ve firmaya artık hizmet edemez hale gelecektir. Bu durumda ise firmanın bu eski teknoloji çözümünü bir yana atmak ve yeni bir çözüme sıfırdan yatırım yapmaktan başka çaresi kalmaz. Bu nedenle bir firma alt yapı yatırımı yaparken iki noktaya çok dikkat etmelidir: 1) Yapacağım yatırımın sonucunda elde edeceğim ürün/çözüm son teknolojiyi barındırıyor mu? 2) Yapacağım yatırımın sonucunda elde edeceğim ürün/çözüm geliştirilebilir mi, firmama uzun vadede hizmet edecek şekilde gelişmelere açık mı? Bu iki sorunun cevapları ancak bugün için gelinen uç noktadaki bir ürün söz konusu ise olumlu olarak verilebilir. Bu da bizi iletişim sistemleri ihtiyaçları için IP santral ve tümleşik iletişim çözümlerine yönlendirmektedir. Satın alınacak santral bir IP tabanlı santral değilse, birinci soruya olumlu cevap verilemeyecektir. İkinci soruya olumlu cevap verebilmek ise ancak gelişmelere açık bir IP telefon santrali seçilirse mümkün olabilir. Yerel Alan Ağları (LAN) ve Geniş Alan Ağları (WAN)veri altyapıları bilgisayarlar arası haberleşme ve internet için zaten kurulması zorunlu altyapılarken telefon haberleşmesi için ayrı bir altyapı kurulmasına gerek kalmaz. IP telefonlar LAN portlarına bağlanarak çalıştığından bir telefon bulunduğu odadan sökülüp diğer bir odadaki LAN prizine takıldığında aynı numara ve aynı özellikleri ile çalışmaya devam eder. 93

112 Gelişmelere açık bir IP santrala yatırım yapan bir firma ise yukarıdaki temel kazanımlar açısından doğru bir adım atmış olacaktır. IP santralların sağlayacağı bir takım kullanıma yönelik faydalar da aşağıdaki şekilde sıralanabilir: 1) Masa başı sabit telefonlara duyulan bağımlılık ortadan kalkar. Akıllı cep telefonları, tablet bilgisayarlar, dizüstü bilgisayarlar vb. cihazlar üzerine kurulacak yazılım tabanlı telefonlar sayesinde, aboneler dünyanın herhangi bir yerinden, santrallarına bağlanabilir ve ofislerindeymiş gibi telefonlarını kullanabilirler. Bu esneklik özellikle, müşteriye yakın olmanın gün geçtikçe daha önemli olduğu iş yaklaşımda çok önemli farklar yaratabilecek bir ortam sağlamaktadır. 2) Firmanın farklı birimleri arasında kurulacak IP köprüsü sayesinde iletişim giderlerinde ciddi tasarruf elde edilir. IP santrallar direkt olarak internet üzerinden birbirleri ile iletişim kurabilmekte ve pek çoğu bu bağlantı üzerinden tek numara yapısı destekler şekilde çalışabilmektedir. Bu sayede hem tüm firma birimlerindeki abonelerin her birimden erişilebilecek tek numarası olmakta hem de birimler arasında yapılan çağrılar bedava gerçekleştirilmektedir. Buna ek olarak bir abone firma birimleri arasında hareket ederken her birimden kendi telefon numarasını kullanarak sisteme dahil olmakta ve yerleşkeden bağımsız olarak aynı hizmeti alabilmektedir. Ayrıca tek merkezde var olacak bir çağrı merkezi yapısı da oluşturulabilir. 3) IP telefon santrallarında, kapasite artırımı çok kolaydır. Kapasite artırmak için santrala yeni kartlar eklenmesi gerekmez. IP abone altyapısı yazılım tabanlı bir yapı olduğundan sadece IP abone lisansı ilavesi ile abone sayısı kolaylıkla artırılabilir. 4) IP santrallar, IP aboneler için özel kablolama gerektirmez. Bina içinde hazır bulunan bilgisayar alt yapısı kablolaması IP telefonlar için direkt olarak kullanılabilir. Hemen her IP telefon, üzerinde bir hat çoklayıcı (Ethernet switch) bulundurur. Bu sayede bilgisayar için hazırlanmış tesisat, hem IP telefon hem de bilgisayar için ek bir kablolamaya ihtiyaç duyulmaksızın kullanılabilir. Aynı zamanda akıllı cep telefonları, bilgisayarlar ve benzeri cihazlar kablosuz bilgisayar ağlarında da çalışabileceğinden, kablosuz ağ olan yerlerde IP 94

113 telefonlar da bu kablosuz ağlar üzerinden çalışabilirler. Bu durum beraberinde, santralın bir yerden bir yere kolayca taşınması olanağını da sağlar. 5) IP santralların bakımı ve programlaması kolaydır. WEB arayüzü sayesinde standart bir Internet Tarayıcısı (örneğin Internet Explorer, Mozilla Firefox vb.) uygulamalar üzerinden kolayca yapılabilir. IP santral aboneleri kendi bilgisayarları üzerinden abone ayarlarını kontrol edebilir, değiştirebilir ve bazı servislerden kolaylıkla faydalanabilirler. Örneğin sesli mesajlarını bilgisayarları üzerinden görebilir ve dinleyebilirler veya isterlerse sesli mesajlarının kendilerine elektronik posta ile iletilmesini sağlayabilirler. 6) Kullanılacak olan telefon makinası için çeşitlilik artar. IP santrallarda kullanılan SIP protokolü dünya genelinde standartlaşmış ve olgunlaşmış bir protokoldür. Bu nedenle IP santrallarla kullanılabilecek SIP uyumlu uç birimlerde, IP telefonlarda esneklik ve kullanım zenginliği sağlar 7) IP sistemler, IP altyapısı sayesinde farklı yazılım ve sosyal medya araçlarıyla entegrasyona açıktır. Bu sayede sistem aboneleri tek ara yüzden birden fazla iletişim aracını kullanabilirler. 8) Görüntülü görüşme için Video IP telefonlar kullanılabilir. Ayrıca bilgisayarlara yüklenecek Soft Telefon (Yazılım Tabanlı Telefon) üzerindeki video alanı ile Video IP Telefonlar ile görüşülebilir, görüntülü konferans yapılabilir. Video Konferans Sisteminin kullanılmasının gerekliliği: Video Konferans, iki ya da daha çok nokta arasında eş zamanlı görüntü, ses ve veri aktarımıdır. Farklı bölgelerdeki katılımcılar internet veya ISDN hatlar üzerinden video konferans görüşmesi yapabilirler. Kodek teknolojisindeki gelişmeler, Network altyapısının her geçen gün iyileşmesi, iletişim masraflarındaki düşüşler, IP(İnternet erişiminin) nin yaygınlaşması, Global standartlara uyumla, Video Konferans Sistemlerinin kullanımı daha faydalı olmaya başlamıştır. Video Konferans Sistemi sayesinde seyahat etme zorunluluğu ortadan kalktığı için bakanlığımızdan kurulması halinde tüm bölgelerimize, limanlarımıza, kantarlara ve makine 95

114 ikmal birimlerine direk bağlanmamıza imkan verecek olup toplantılarımız çok daha kolay ve hızlı bir şekilde yapılabilecektir. Seyahat masraflarını azaltır, üretkenliği arttırır, çalışan kişilerin çalışma azmini yükseltir, anahtar-kilit roldeki kişilerden daha etkin faydalanmayı sağlar, daha verimli toplantılar yapılmasını sağlar, görselliğin etkinliği ile daha dikkatli toplantılar yapılır, daha iyi grup çalışması elde edilir, daha yüksek katılım sağlar, yorgunluğu azaltır, çalışan kişilerin güvenliğini arttırır, doğayı korur. 5- Merkezden yönetim ile personel kontrolü sağlamak, Microsoft event viewer ile domaindeki tüm kullanıcıları log sistemine entegre ederek bilgisayar üzerinde yapılan tüm işlemler 5651 sayılı kanunun yükümlülüklerini yerine getirebilecek şekilde kayıt altına alınarak arşivlenmektedir. Bu arşivlere ihtiyaç duyulması halinde Bilgi İşlem Dairesi uzman personeli tarafından ilgililere teslim edilebilecektir. Yapılan kötü amaçlı bir işlemin hangi bilgisayardan hangi tarih ve saatte yapıldığının tespitinde active directory sistemi sayesinde mümkün kılınmıştır, bu imkan sayesinde personel üzerinde caydırıcılık sağlanmaktadır. Personelin işe düzensiz gelip gelmediğinin kontrol edilebilmesi adına kullanıcıların bilgisayarlarının açılış kapanış saatine, sistemler üzerinde işlem yapma saatine göre tespiti mümkündür. 96

115 KAYNAKLAR Carmouche, J. H. (2007). IPsec Virtual Prive Network Fundamentals. Indianapolis: Cisco Press. Erwin, M., Scott, C., & Wolfe, &. P. (1999). Virtual Private Networks. Sebastopol CA: O'Rielly & Associates Inc. Kosiur, D. (1998). Building and Managing Virtual Private Networks. New York, NY: John Wiley & Sons, Inc. Tiller, J. S. (2001). A technical Guide to IPSec Virtual Private Networks. New York: Auerbach Publications. "Sanal Özel Ağ, Kriptoloji ve PKI Teknolojileri". Serkan YILMAZ. Internetworking & TCP/IP, Armada Eğitim Merkezi, İstanbul, Çölkesen R., Örencik B., Bilgisaycar Haberleşmesi ve Ağ Teknolojileri, Papatya Yayıncılık, İstanbul, Akbulut N., Koçak B., TCP/IP & Networking, Turkcell, İstanbul, Yüksel Z., Ağ Güvenliği ve Güvenlik Duvarında VPN ve NAT Uygulamaları, Yüksek Lisans Tezi, Yıldız Teknik Üniversitesi, Fen Bilimleri Enstitüsü, İstanbul,

116 İnternet Kaynakları:

117 EKLER Merkez ile uzak lokasyonları birbirine bağlamak için yapılması gereken router yapılandırmasına örnek olarak Bakanlığımız ile Tandoğan Ek Binamız arasındaki yapılandırma ayarları: TANDOGAN_BB_3560G_METRO#sh run Building configuration... Current configuration : 5584 bytes version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname TANDOGAN_BB_3560G_METRO enable password cisco username cisco privilege 15 password 0 cisco no aaa new-model system mtu routing 1500 vtp mode transparent ip subnet-zero ip routing ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp pool DATA_BIM 99

118 network default-router dns-server domain-name wr lease 8 ip dhcp pool DATA_KAT6 network default-router dns-server lease 8 ip dhcp pool DATA_KAT7 network default-router dns-server lease 8 ip dhcp pool DATA_KAT8 network default-router dns-server lease 8 ip dhcp pool DATA_MAKAM network default-router dns-server lease 8 ip dhcp pool VOICE_BIM network default-router dns-server option 150 ip lease 8 ip dhcp pool VOICE_KAT6 network default-router dns-server option 150 ip lease 8 ip dhcp pool VOICE_KAT7 network default-router

119 dns-server option 150 ip lease 8 ip dhcp pool VOICE_KAT8 network default-router dns-server option 150 ip lease 8 ip dhcp pool VOICE_MAKAM network default-router dns-server option 150 ip domain-name wr lease 8 no file verify auto spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan priority vlan internal allocation policy ascending vlan 2 name DATA_BIM vlan 6 name DATA_KAT6 vlan 7 name DATA_KAT7 vlan 8 name DATA_KAT8 vlan 9 name DATA_MAKAM vlan 12 name VOICE_BIM 101

120 vlan 16 name VOICE_KAT6 vlan 17 name VOICE_KAT7 vlan 18 name VOICE_KAT8 vlan 19 name VOICE_MAKAM vlan 168 name LABRIS_ vlan 234 name METRO interface GigabitEthernet0/1 description "LABRIS_ETH5_BAGLANTISI" switchport trunk encapsulation dot1q switchport trunk allowed vlan 168 switchport mode trunk switchport nonegotiate interface GigabitEthernet0/2 interface GigabitEthernet0/3 interface GigabitEthernet0/4 interface GigabitEthernet0/5 interface GigabitEthernet0/6 interface GigabitEthernet0/7 interface GigabitEthernet0/8 interface GigabitEthernet0/9 interface GigabitEthernet0/10 interface GigabitEthernet0/11 interface GigabitEthernet0/12 102

121 interface GigabitEthernet0/13 interface GigabitEthernet0/14 interface GigabitEthernet0/15 interface GigabitEthernet0/16 interface GigabitEthernet0/17 interface GigabitEthernet0/18 interface GigabitEthernet0/19 interface GigabitEthernet0/20 interface GigabitEthernet0/21 interface GigabitEthernet0/22 interface GigabitEthernet0/23 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/24 description "BAKANLIK_METRO_BAGLANTISI" switchport trunk encapsulation dot1q switchport mode trunk spanning-tree bpdufilter enable interface GigabitEthernet0/25 description "ATI FIBER SWITCH BAGLANTISI" switchport trunk encapsulation dot1q switchport trunk allowed vlan 1-167, , switchport mode trunk switchport nonegotiate interface GigabitEthernet0/26 interface GigabitEthernet0/27 interface GigabitEthernet0/28 interface Vlan1 ip address

122 interface Vlan2 ip address interface Vlan6 ip address interface Vlan7 ip address interface Vlan8 ip address interface Vlan9 ip address interface Vlan12 ip address interface Vlan16 ip address interface Vlan17 ip address interface Vlan18 ip address interface Vlan19 ip address interface Vlan168 ip address interface Vlan234 ip address ip classless ip route name UBAK ip route name LABRIS ip http server control-plane line con 0 line vty

123 login local length 0 line vty 5 15 login end TANDOGAN_BB_3560G_METRO#sh conf Using 5584 out of bytes version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname TANDOGAN_BB_3560G_METRO enable password cisco username cisco privilege 15 password 0 cisco no aaa new-model system mtu routing 1500 vtp mode transparent ip subnet-zero ip routing ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp pool DATA_BIM network

124 default-router dns-server domain-name wr lease 8 ip dhcp pool DATA_KAT6 network default-router dns-server lease 8 ip dhcp pool DATA_KAT7 network default-router dns-server lease 8 ip dhcp pool DATA_KAT8 network default-router dns-server lease 8 ip dhcp pool DATA_MAKAM network default-router dns-server lease 8 ip dhcp pool VOICE_BIM network default-router dns-server option 150 ip lease 8 ip dhcp pool VOICE_KAT6 network default-router dns-server option 150 ip lease 8 ip dhcp pool VOICE_KAT7 network default-router dns-server

125 option 150 ip lease 8 ip dhcp pool VOICE_KAT8 network default-router dns-server option 150 ip lease 8 ip dhcp pool VOICE_MAKAM network default-router dns-server option 150 ip domain-name wr lease 8 no file verify auto spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan priority vlan internal allocation policy ascending vlan 2 name DATA_BIM vlan 6 name DATA_KAT6 vlan 7 name DATA_KAT7 vlan 8 name DATA_KAT8 vlan 9 name DATA_MAKAM vlan 12 name VOICE_BIM 107

126 vlan 16 name VOICE_KAT6 vlan 17 name VOICE_KAT7 vlan 18 name VOICE_KAT8 vlan 19 name VOICE_MAKAM vlan 168 name LABRIS_ vlan 234 name METRO interface GigabitEthernet0/1 description "LABRIS_ETH5_BAGLANTISI" switchport trunk encapsulation dot1q switchport trunk allowed vlan 168 switchport mode trunk switchport nonegotiate interface GigabitEthernet0/2 interface GigabitEthernet0/3 interface GigabitEthernet0/4 interface GigabitEthernet0/5 interface GigabitEthernet0/6 interface GigabitEthernet0/7 interface GigabitEthernet0/8 interface GigabitEthernet0/9 interface GigabitEthernet0/10 interface GigabitEthernet0/11 interface GigabitEthernet0/12 108

127 interface GigabitEthernet0/13 interface GigabitEthernet0/14 interface GigabitEthernet0/15 interface GigabitEthernet0/16 interface GigabitEthernet0/17 interface GigabitEthernet0/18 interface GigabitEthernet0/19 interface GigabitEthernet0/20 interface GigabitEthernet0/21 interface GigabitEthernet0/22 interface GigabitEthernet0/23 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/24 description "BAKANLIK_METRO_BAGLANTISI" switchport trunk encapsulation dot1q switchport mode trunk spanning-tree bpdufilter enable interface GigabitEthernet0/25 description "ATI FIBER SWITCH BAGLANTISI" switchport trunk encapsulation dot1q switchport trunk allowed vlan 1-167, , switchport mode trunk switchport nonegotiate interface GigabitEthernet0/26 interface GigabitEthernet0/27 interface GigabitEthernet0/28 interface Vlan1 ip address interface Vlan2 109

128 ip address interface Vlan6 ip address interface Vlan7 ip address interface Vlan8 ip address interface Vlan9 ip address interface Vlan12 ip address interface Vlan16 ip address interface Vlan17 ip address interface Vlan18 ip address interface Vlan19 ip address interface Vlan168 ip address interface Vlan234 ip address ip classless ip route name UBAK ip route name LABRIS ip http server control-plane line con 0 line vty 0 4 login local 110

129 length 0 line vty 5 15 login end TANDOGAN_BB_3560G_METRO#exit 111

130 Bölgelerimiz ile Bakanlığımız arasında kurulu olan güvenlik duvarımızın (Cyberoam) yasaklı siteler için oluşturduğu hata mesajı. Resim 11: Cyberoam Uyarı Mesajı Burada, Kullanıcının kimliği, Erişim sağlamaya çalıştığı sayfanın URL si, Erişim sağlanmaya çalışılan sayfanın yasaklanma sebebi, ayrıntılı olarak açıklanmıştır. 112

131 Bakanlığımız ile Türk Telekom arasında kurulu olan güvenlik duvarımızın (CheckPoint) yasaklı siteler için oluşturduğu hata mesajı. Resim 12: CheckPoint Uyarı Mesajı Yine burada da, Kullanıcının adı, Kullandığı uygulama, IP Adresi, Yasaklanma kategorisi, ayrıntılı olarak belirtilerek yasaklanma nedeni kullanıcıya belirtiliyor. 113

132 5651 sayılı kanunun metni. MADDE 1- (1) Bu Kanunun amaç ve kapsamı; içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usûlleri düzenlemektir. Tanımlar MADDE 2- (1) Bu Kanunun uygulamasında; a) Bakanlık: Ulaştırma Bakanlığını, b) Başkanlık: Kurum bünyesinde bulunan Telekomünikasyon İletişim Başkanlığını, c) Başkan: Telekomünikasyon İletişim Başkanını, ç) Bilgi: Verilerin anlam kazanmış biçimini, d) Erişim: Bir internet ortamına bağlanarak kullanım olanağı kazanılmasını, e) Erişim sağlayıcı: Kullanıcılarına internet ortamına erişim olanağı sağlayan her türlü gerçek veya tüzel kişileri, f) İçerik sağlayıcı: İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri, g) İnternet ortamı: Haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan internet üzerinde oluşturulan ortamı, ğ) İnternet ortamında yapılan yayın: İnternet ortamında yer alan ve içeriğine belirsiz sayıda kişilerin ulaşabileceği verileri, h) İzleme: İnternet ortamındaki verilere etki etmeksizin bilgi ve verilerin takip edilmesini, ı) Kurum: Telekomünikasyon Kurumunu, i) Toplu kullanım sağlayıcı: Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayanı, j) Trafik bilgisi: İnternet ortamında gerçekleştirilen her türlü erişime ilişkin olarak taraflar, zaman, süre, yararlanılan hizmetin türü, aktarılan veri miktarı ve bağlantı noktaları gibi değerleri, k) Veri: Bilgisayar tarafından üzerinde işlem yapılabilen her türlü değeri, l) Yayın: İnternet ortamında yapılan yayını, 114

133 m) Yer sağlayıcı: Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişileri, ifade eder. Bilgilendirme yükümlülüğü MADDE 3- (1) İçerik, yer ve erişim sağlayıcıları, yönetmelikle belirlenen esas ve usûller çerçevesinde tanıtıcı bilgilerini kendilerine ait internet ortamında kullanıcıların ulaşabileceği şekilde ve güncel olarak bulundurmakla yükümlüdür. (2) Yukarıdaki fıkrada belirtilen yükümlülüğü yerine getirmeyen içerik, yer veya erişim sağlayıcısına Başkanlık tarafından iki bin Yeni Türk Lirasından on bin Yeni Türk Lirasına kadar idarî para cezası verilir. İçerik sağlayıcının sorumluluğu MADDE 4- (1) İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur. (2) İçerik sağlayıcı, bağlantı sağladığı başkasına ait içerikten sorumlu değildir. Ancak, sunuş biçiminden, bağlantı sağladığı içeriği benimsediği ve kullanıcının söz konusu içeriğe ulaşmasını amaçladığı açıkça belli ise genel hükümlere göre sorumludur. Yer sağlayıcının yükümlülükleri MADDE 5- (1) Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü değildir. (2) Yer sağlayıcı, yer sağladığı hukuka aykırı içerikten, ceza sorumluluğu ile ilgili hükümler saklı kalmak kaydıyla, bu Kanunun 8 inci ve 9 uncu maddelerine göre haberdar edilmesi halinde ve teknik olarak imkân bulunduğu ölçüde hukuka aykırı içeriği yayından kaldırmakla yükümlüdür. Erişim sağlayıcının yükümlülükleri MADDE 6- (1) Erişim sağlayıcı; a) Herhangi bir kullanıcısının yayınladığı hukuka aykırı içerikten, bu Kanun hükümlerine uygun olarak haberdar edilmesi halinde ve teknik olarak engelleme imkânı bulunduğu ölçüde erişimi engellemekle, b) Sağladığı hizmetlere ilişkin, yönetmelikte belirtilen trafik bilgilerini altı aydan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla, 115

134 c) Faaliyetine son vereceği tarihten en az üç ay önce durumu Kuruma, içerik sağlayıcılarına ve müşterilerine bildirmek ve trafik bilgilerine ilişkin kayıtları yönetmelikte belirtilen esas ve usûllere uygun olarak Kuruma teslim etmekle, yükümlüdür. (2) Erişim sağlayıcı, kendisi aracılığıyla erişilen bilgilerin içeriklerinin hukuka aykırı olup olmadıklarını ve sorumluluğu gerektirip gerektirmediğini kontrol etmekle yükümlü değildir. (3) Birinci fıkranın (b) ve (c) bentlerinde yer alan yükümlülüklerden birini yerine getirmeyen erişim sağlayıcısına Başkanlık tarafından on bin Yeni Türk Lirasından elli bin Yeni Türk Lirasına kadar idarî para cezası verilir. Toplu kullanım sağlayıcıların yükümlülükleri MADDE 7- (1) Ticarî amaçla toplu kullanım sağlayıcılar, mahallî mülkî amirden izin belgesi almakla yükümlüdür. İzne ilişkin bilgiler otuz gün içinde mahallî mülkî amir tarafından Kuruma bildirilir. Bunların denetimi mahallî mülkî amirler tarafından yapılır. İzin belgesinin verilmesine ve denetime ilişkin esas ve usûller, yönetmelikle düzenlenir. (2) Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür. (3) Birinci fıkrada belirtilen yükümlülüğe aykırı hareket eden kişiye mahallî mülkî amir tarafından üç bin Yeni Türk Lirasından on beş bin Yeni Türk Lirasına kadar idarî para cezası verilir. Erişimin engellenmesi kararı ve yerine getirilmesi MADDE 8- (1) İnternet ortamında yapılan ve içeriği aşağıdaki suçları oluşturduğu hususunda yeterli şüphe sebebi bulunan yayınlarla ilgili olarak erişimin engellenmesine karar verilir: a) tarihli ve 5237 sayılı Türk Ceza Kanununda yer alan; 1) İntihara yönlendirme (madde 84), 2) Çocukların cinsel istismarı (madde 103, birinci fıkra), 3) Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (madde 190), 4) Sağlık için tehlikeli madde temini (madde 194), 5) Müstehcenlik (madde 226), 6) Fuhuş (madde 227), 7) Kumar oynanması için yer ve imkân sağlama (madde 228), suçları. b) tarihli ve 5816 sayılı Atatürk Aleyhine İşlenen Suçlar Hakkında Kanunda yer alan suçlar. 116

135 (2) Erişimin engellenmesi kararı, soruşturma evresinde hâkim, kovuşturma evresinde ise mahkeme tarafından verilir. Soruşturma evresinde, gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısı tarafından da erişimin engellenmesine karar verilebilir. Bu durumda Cumhuriyet savcısı kararını yirmi dört saat içinde hâkimin onayına sunar ve hâkim, kararını en geç yirmi dört saat içinde verir. Bu süre içinde kararın onaylanmaması halinde tedbir, Cumhuriyet savcısı tarafından derhal kaldırılır. Koruma tedbiri olarak verilen erişimin engellenmesine ilişkin karara tarihli ve 5271 sayılı Ceza Muhakemesi Kanunu hükümlerine göre itiraz edilebilir. (3) Hâkim, mahkeme veya Cumhuriyet savcısı tarafından verilen erişimin engellenmesi kararının birer örneği, gereği yapılmak üzere Başkanlığa gönderilir. (4) İçeriği birinci fıkrada belirtilen suçları oluşturan yayınların içerik veya yer sağlayıcısının yurt dışında bulunması halinde veya içerik veya yer sağlayıcısı yurt içinde bulunsa bile, içeriği birinci fıkranın (a) bendinin (2) ve (5) numaralı alt bentlerinde yazılı suçları oluşturan yayınlara ilişkin olarak erişimin engellenmesi kararı re sen Başkanlık tarafından verilir. Bu karar, erişim sağlayıcısına bildirilerek gereğinin yerine getirilmesi istenir. (5) Erişimin engellenmesi kararının gereği, derhal ve en geç kararın bildirilmesi anından itibaren yirmi dört saat içinde yerine getirilir. (6) Başkanlık tarafından verilen erişimin engellenmesi kararının konusunu oluşturan yayını yapanların kimliklerinin belirlenmesi halinde, Başkanlık tarafından, Cumhuriyet başsavcılığına suç duyurusunda bulunulur. (7) Soruşturma sonucunda kovuşturmaya yer olmadığı kararı verilmesi halinde, erişimin engellenmesi kararı kendiliğinden hükümsüz kalır. Bu durumda Cumhuriyet savcısı, kovuşturmaya yer olmadığı kararının bir örneğini Başkanlığa gönderir. (8) Kovuşturma evresinde beraat kararı verilmesi halinde, erişimin engellenmesi kararı kendiliğinden hükümsüz kalır. Bu durumda mahkemece beraat kararının bir örneği Başkanlığa gönderilir. (9) Konusu birinci fıkrada sayılan suçları oluşturan içeriğin yayından çıkarılması halinde; erişimin engellenmesi kararı, soruşturma evresinde Cumhuriyet savcısı, kovuşturma evresinde mahkeme tarafından kaldırılır. (10) Koruma tedbiri olarak verilen erişimin engellenmesi kararının gereğini yerine getirmeyen yer veya erişim sağlayıcılarının sorumluları, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, altı aydan iki yıla kadar hapis cezası ile cezalandırılır. 117

136 (11) İdarî tedbir olarak verilen erişimin engellenmesi kararının yerine getirilmemesi halinde, Başkanlık tarafından erişim sağlayıcısına, on bin Yeni Türk Lirasından yüz bin Yeni Türk Lirasına kadar idarî para cezası verilir. İdarî para cezasının verildiği andan itibaren yirmi dört saat içinde kararın yerine getirilmemesi halinde ise Başkanlığın talebi üzerine Kurum tarafından yetkilendirmenin iptaline karar verilebilir. (12) Bu Kanunda tanımlanan kabahatler dolayısıyla Başkanlık veya Kurum tarafından verilen idarî para cezalarına ilişkin kararlara karşı, tarihli ve 2577 sayılı İdarî İçeriğin yayından çıkarılması ve cevap hakkı MADDE 9- (1) İçerik nedeniyle hakları ihlâl edildiğini iddia eden kişi, içerik sağlayıcısına, buna ulaşamaması halinde yer sağlayıcısına başvurarak kendisine ilişkin içeriğin yayından çıkarılmasını ve yayındaki kapsamından fazla olmamak üzere hazırladığı cevabı bir hafta süreyle internet ortamında yayımlanmasını isteyebilir. İçerik veya yer sağlayıcı kendisine ulaştığı tarihten itibaren iki gün içinde, talebi yerine getirir. Bu süre zarfında talep yerine getirilmediği takdirde reddedilmiş sayılır. (2) Talebin reddedilmiş sayılması halinde, kişi on beş gün içinde yerleşim yeri sulh ceza mahkemesine başvurarak, içeriğin yayından çıkarılmasına ve yayındaki kapsamından fazla olmamak üzere hazırladığı cevabın bir hafta süreyle internet ortamında yayımlanmasına karar verilmesini isteyebilir. Sulh ceza hâkimi bu talebi üç gün içinde duruşma yapmaksızın karara bağlar. Sulh ceza hâkiminin kararına karşı Ceza Muhakemesi Kanunu hükümlerine göre itiraz yoluna gidilebilir. (3) Sulh ceza hâkiminin kesinleşen kararının, birinci fıkraya göre yapılan başvuruyu yerine getirmeyen içerik veya yer sağlayıcısına tebliğinden itibaren iki gün içinde içerik yayından çıkarılarak hazırlanan cevabın yayımlanmasına başlanır. (4) Sulh ceza hâkiminin kararını bu maddede belirtilen şartlara uygun olarak ve süresinde yerine getirmeyen sorumlu kişi, altı aydan iki yıla kadar hapis cezası ile cezalandırılır. İçerik veya yer sağlayıcının tüzel kişi olması halinde, bu fıkra hükmü yayın sorumlusu hakkında uygulanır. İdarî yapı ve görevler MADDE 10- (1) Kanunla verilen görevler, Kurum bünyesinde bulunan Başkanlıkça yerine getirilir. (2) Bu Kanunla ekli listedeki kadrolar ihdas edilerek Başkanlığın hizmetlerinde kullanılmak üzere tarihli ve 2813 sayılı Telsiz Kanununa ekli (II) sayılı listeye eklenmiştir. Başkanlık bünyesindeki iletişim uzmanlarına, Kurumda çalışan Telekomünikasyon Uzmanlarına uygulanan malî, sosyal hak ve yardımlara ilişkin hükümler uygulanır. İletişim Uzmanı olarak Başkanlığa atanan 118

137 personelin hakları saklı kalmak kaydıyla, kariyer sistemi, Kanunun yürürlüğe girdiği tarihten itibaren altı ay içinde çıkarılacak yönetmelikle düzenlenir. (3) Başkanlığa Kanunla verilen görevlere ilişkin olarak yapılacak her türlü mal veya hizmet alımları, ceza ve ihalelerden yasaklama işleri hariç, tarihli ve 4734 sayılı Kamu İhale Kanunu ile tarihli ve 4735 sayılı Kamu İhale Sözleşmeleri Kanunu hükümlerine tâbi olmaksızın Kurum bütçesinden karşılanır. (4) Kanunlarla verilen diğer yetki ve görevleri saklı kalmak kaydıyla, Başkanlığın bu Kanun kapsamındaki görev ve yetkileri şunlardır: a) Bakanlık, kolluk kuvvetleri, ilgili kamu kurum ve kuruluşları ile içerik, yer ve erişim sağlayıcılar ve ilgili sivil toplum kuruluşları arasında koordinasyon oluşturarak internet ortamında yapılan ve bu Kanun kapsamına giren suçları oluşturan içeriğe sahip faaliyet ve yayınları önlemeye yönelik çalışmalar yapmak, bu amaçla, gerektiğinde, her türlü giderleri yönetmelikle belirlenecek esas ve usuller dâhilinde Kurumca karşılanacak çalışma kurulları oluşturmak. b) İnternet ortamında yapılan yayınların içeriklerini izleyerek, bu Kanun kapsamına giren suçların işlendiğinin tespiti halinde, bu yayınlara erişimin engellenmesine yönelik olarak bu Kanunda öngörülen gerekli tedbirleri almak. c) İnternet ortamında yapılan yayınların içeriklerinin izlenmesinin hangi seviye, zaman ve şekilde yapılacağını belirlemek. ç) Kurum tarafından işletmecilerin yetkilendirilmeleri ile mülkî idare amirlerince ticarî amaçlı toplu kullanım sağlayıcılara verilecek izin belgelerinde filtreleme ve bloke etmede kullanılacak sistemlere ve yapılacak düzenlemelere yönelik esas ve usûlleri belirlemek. d) İnternet ortamındaki yayınların izlenmesi suretiyle bu Kanunun 8 inci maddesinin birinci fıkrasında sayılan suçların işlenmesini önlemek için izleme ve bilgi ihbar merkezi dâhil, gerekli her türlü teknik altyapıyı kurmak veya kurdurmak, bu altyapıyı işletmek veya işletilmesini sağlamak. e) İnternet ortamında herkese açık çeşitli servislerde yapılacak filtreleme, perdeleme ve izleme esaslarına göre donanım üretilmesi veya yazılım yapılmasına ilişkin asgari kriterleri belirlemek. f) Bilişim ve internet alanındaki uluslararası kurum ve kuruluşlarla işbirliği ve koordinasyonu sağlamak. g) Bu Kanunun 8 inci maddesinin birinci fıkrasında sayılan suçların, internet ortamında işlenmesini konu alan her türlü temsili görüntü, yazı veya sesleri içeren ürünlerin tanıtımı, ülkeye sokul- 119

138 ması, bulundurulması, kiraya verilmesi veya satışının önlenmesini teminen yetkili ve görevli kolluk kuvvetleri ile soruşturma mercilerine, teknik imkânları dâhilinde gereken her türlü yardımda bulunmak ve koordinasyonu sağlamak. (5) Başkanlık; Bakanlık tarafından 3348 sayılı Ulaştırma Bakanlığının Teşkilat ve Görevleri Hakkında Kanunun ek 1 inci maddesi uyarınca, Adalet Bakanlığı, İçişleri Bakanlığı, çocuk, kadın ve aileden sorumlu Devlet Bakanlığı ile Kurum ve ihtiyaç duyulan diğer bakanlık, kamu kurum ve kuruluşları ile internet servis sağlayıcıları ve ilgili sivil toplum kuruluşları arasından seçilecek bir temsilcinin katılımı suretiyle teşkil edilecek İnternet Kurulu ile gerekli işbirliği ve koordinasyonu sağlar; bu Kurulca izleme, filtreleme ve engelleme yapılacak içeriği haiz yayınların tespiti ve benzeri konularda yapılacak öneriler ile ilgili gerekli her türlü tedbir veya kararları alır. Yönetmelikler MADDE 11- (1) Bu Kanunun uygulanmasına ilişkin esas ve usûller, Adalet, İçişleri ve Ulaştırma bakanlıklarının görüşleri alınarak Başbakanlık tarafından çıkarılacak yönetmeliklerle düzenlenir. Bu yönetmelikler, Kanunun yürürlüğe girdiği tarihten itibaren dört ay içinde çıkarılır. (2) Yer veya erişim sağlayıcı olarak faaliyet icra etmek isteyen kişilere, telekomünikasyon yoluyla iletişim konusunda yetkilendirme belgesi olup olmadığına bakılmaksızın, yer veya erişim sağlayıcı olarak faaliyet icra etmesi amacıyla yetkilendirme belgesi verilmesine ilişkin esas ve usûller, Kurum tarafından çıkarılacak yönetmelikle düzenlenir. Bu yönetmelik, Kanunun yürürlüğe girdiği tarihten itibaren beş ay içinde çıkarılır. İlgili kanunlarda yapılan değişiklikler MADDE 12- (1) tarihli ve 406 sayılı Telgraf ve Telefon Kanununun 2 nci maddesinin (f) bendine aşağıdaki cümle eklenmiştir. Bu idarî para cezalarına ilişkin kararlara karşı, tarihli ve 2577 sayılı İdarî Yargılama Usulü Kanunu hükümlerine göre kanun yoluna başvurulabilir. (2) tarihli ve 2559 sayılı Polis Vazife ve Salahiyet Kanununun ek 7 nci maddesinin onuncu fıkrasının birinci cümlesinde yer alan belirtilen ibaresinden sonra gelmek üzere telekomünikasyon yoluyla yapılan iletişime ilişkin ibaresi eklenmiş, ikinci cümlesi Oluşturulan bu Başkanlık bir başkan ile daire başkanlıklarından oluşur. şeklinde değiştirilmiştir. (3) tarihli ve 2813 sayılı Telsiz Kanununun 5 inci maddesine aşağıdaki fıkra eklenmiştir. Kurulca belirlenecek esas ve usuller çerçevesinde, tarihli ve 4734 sayılı Kamu İhale Kanununun 22 nci maddesinde belirtilen doğrudan temin usûlüyle serbest avukatlar veya avukatlık ortaklıklarıyla avukat sözleşmeleri akdedilebilir. 120

139 (4) tarihli ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanununun 6 ncı maddesinin ikinci fıkrasının son cümlesi tarihli ve 5271 sayılı Ceza Muhakemesi Kanununun 135 inci maddesinin altıncı fıkrasının (a) bendinin (14) numaralı alt bendi kapsamında yapılacak dinlemeler de bu merkez üzerinden yapılır. şeklinde değiştirilmiş; dördüncü fıkrasında yer alan Ancak ibaresinden sonra gelmek üzere casusluk faaliyetlerinin tespiti ve ibaresi eklenmiş; altıncı fıkrasının üçüncü cümlesinde geçen Bu madde ibaresi Bu fıkra olarak değiştirilmiştir. GEÇİCİ MADDE 1- (1) Başkanlığın kuruluştaki hizmet binasının yapımı, ceza ve ihalelerden yasaklama işleri hariç, Kamu İhale Kanunu ve Kamu İhale Sözleşmeleri Kanunu hükümlerine tâbi olmaksızın Kurum bütçesinden karşılanır. (2) Halen faaliyet icra eden ticarî amaçla toplu kullanım sağlayıcılar, bu Kanunun yürürlüğe girdiği tarihten itibaren altı ay içinde 7 nci maddeye göre alınması gereken izin belgesini temin etmekle yükümlüdürler. (3) Halen yer veya erişim sağlayıcı olarak faaliyet icra eden kişilere, Kurum tarafından, telekomünikasyon yoluyla iletişim konusunda yetkilendirme belgesi olup olmadığına bakılmaksızın, yer veya erişim sağlayıcı olarak faaliyet icra etmesi amacıyla bir yetkilendirme belgesi düzenlenir. Yürürlük MADDE 13- (1) Bu Kanunun; a) 3 üncü ve 8 inci maddeleri, yayımı tarihinden altı ay sonra, b) Diğer maddeleri yayımı tarihinde, yürürlüğe girer. Yürütme MADDE 14- (1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür. 121

140 BÖLGELER YÖNLENDİRİCİ TTVPN SYS ACT POE RPS PS İNTERNET Cisco 2900 Series AC OK I V~ 6-2A Hz POE SYS ACT POE RPS PS Cisco 2900 Series AC OK I V~ 6-2A Hz POE GÜVENLİK DUVARI BÖLGELER SYS ACT POE RPS PS Cisco 2900 Series AC OK I V~ 6-2A Hz POE GÜVENLİK DUVARI LİMAN BŞK SYS ACT POE RPS PS Cisco 2900 Series DMZ İNTERNET SUNUCULARI AC OK I V~ 6-2A Hz POE YKDİ SYS ACT POE RPS PS IP TELEFON ALTYAPISI Cisco 2900 Series AC OK I V~ 6-2A Hz POE MAKİNE İKMAL SYS ACT POE RPS PS V Cisco 2900 Series AC OK I V~ 6-2A Hz POE UDHB EK BİNA VERİTABANI SUNUCULARI 1 SYS ACT POE RPS PS Cisco 2900 Series FAN STATUS 2 AC OK I V~ 6-2A Hz 3 POE 4 UDHB EK BİNA C6506-E-FAN WS-C6506-E SYS ACT POE RPS PS Cisco 2900 Series INPUT V 16A 60/50 Hz INPUT V 16A 60/50 Hz INPUT V ~ 16A 60/50 Hz AC OK I V~ 6-2A Hz ~ ALL INST RUN RUN POE INPUT OK 1 SYS ACT POE RPS PS INPUT OK 1 CISCO SYSTEMS, INC. FAN OUTPUT OK FAIL 2 SWITCH MUST BE IN OFF O POSITION TO INSTALL/ REMOVE POWER SUPPLY. FASTENER MUST BE FULLY ENGAGED PRIOR TO OPERATING POWER SUPPLY. OMURGA ANAHTAR Cisco 2900 Series AC OK I V~ 6-2A Hz FAN OUTPUT OK FAIL 2 SWITCH MUST BE IN OFF O POSITION TO INSTALL/ REMOVE POWER SUPPLY. FASTENER MUST BE FULLY ENGAGED PRIOR TO OPERATING POWER SUPPLY. CISCO SYSTEMS, INC. TÜRKSAT ~ INPUT V ~ 16A 60/50 Hz ALL INST POE EMNİYET X 15X 17X 31X 33X 47X 2X 16X 18X 32X 34X 48X A-BLOK Catalyst 3750 SERIES Catalyst 3750 SERIES Catalyst 3750 SERIES 1 2 SYST RPS MASTR STAT DUPLX SPEED STACK MODE SYST RPS MASTR STAT DUPLX SPEED STACK MODE X 15X 17X 31X 33X 47X 2X 16X 18X 32X 34X 48X B-BLOK SYST RPS MASTR STAT DUPLX SPEED STACK MODE X 17X 31X 33X 47X 2X 16X 18X 32X 34X 48X C-BLOK Catalyst 3750 SERIES X SYST RPS MASTR STAT DUPLX SPEED STACK MODE X 15X 17X 31X 33X 47X 2X 16X 18X 32X 34X 48X DÖNER SERMAYE