OSI Modeli ve Ağ Güvenliği: Her Katmanda Koruma

OSI Katman Modeli Bağlamında Ağ Güvenliği

Açık Sistemler Bağlantısı (OSI) modeli, ağ iletişimini yedi katmanda tanımlayan konseptüel bir modeldir. Her katman, farklı işlevlerden sorumlu olup, kendine özgü protokoller ve potansiyel güvenlik açıkları barındırır. Aşağıdaki diyagram, OSI modelinin 7 katmanını göstermektedir ve bu katmanlara yönelik güvenlik yaklaşımını anlamamıza yardımcı olur:

OSI modelinin her katmanını ayrı ayrı inceleyerek, hangi tehditlerin mevcut olduğunu ve ne tür savunma mekanizmaları uygulanabileceğini belirlemek mümkündür. Her katman için bazı güvenlik değerlendirmeleri şu şekildedir:

• Fiziksel Katman (Katman 1): Kablolar, fiber optikler, radyo frekansları gibi fiziksel iletim ortamını içerir.

Tehditler: kablo dinleme (wiretapping), kablo kesme, elektromanyetik sızma, parazit ve sinyal karıştırma (jamming).

Savunma: Fiziksel erişim kontrolü (kilitler, güvenlik görevlileri), kablo kanallarının korunması, elektromanyetik kalkanlama (ör. Faraday kafesi), kritik bağlantılar için çift yedekli hatlar.

• Veri Bağı Katmanı (Katman 2): LAN anahtarları, köprüler ve MAC adresi tabanlı iletişim bu katmanda gerçekleşir.

Tehditler: MAC adresi sahtekarlığı (spoofing), ARP zehirlenmesi (sahte ARP yanıtları ile istemcilerin ARP tablolarının yanlış yönlendirilmesi) ve anahtarların hedeflendiği saldırılar (ör. MAC tablo taşırma saldırıları).

Savunma: Anahtarlarda ARP denetimi (Dynamic ARP Inspection) kullanımı, port security (belirli porta sabit MAC adresi izni), 802.1X ağ erişim kontrolü, VLAN ile ağı bölümlere ayırma. Örneğin, ARP sahtekarlığına karşı, anahtar üzerinde ARP önbellek zehirlenmesini tespit edip engelleyen mekanizmalar etkinleştirilebilir.

• Ağ Katmanı (Katman 3): IP protokolü ve yönlendirme bu katmanda çalışır.

Tehditler: IP adres sahtekarlığı (IP spoofing) yaparak paket gönderme, yönlendirme protokollerine saldırılar (örn. BGP oturum kaçırma veya sahte yönlendirme güncellemeleri), ICMP kötüye kullanımları (ör. ICMP redirect saldırıları veya ping yayını (smurf) saldırıları).

Savunma: Yönlendiricilerde erişim kontrol listeleri (ACL) tanımlayarak istenmeyen trafiği engelleme, BGP için oturum kimlik doğrulaması (MD5 imzaları vb.) kullanma, IP spoofing’i engellemek için kenar cihazlarında anti spoofing filtreleri uygulama (ör. RFC 2827 uyarınca çıkış yönünde kaynak adres filtreleme).

• Taşıma Katmanı (Katman 4): TCP ve UDP protokollerinin çalıştığı katmandır.

Tehditler: SYN f lood gibi DoS saldırıları (saldırgan, TCP el sıkışma paketlerini yarım bırakarak sunucu kaynaklarını tüketir), port taraması (saldırganın açık portları araması), UDP flood (UDP üzerinden bant genişliği tüketme saldırıları) ve TCP oturum ele geçirme (session hijacking).

Savunma: Güvenlik duvarları üzerinde oturum sayısı sınırlamaları ve SYN flood korumaları (SYN Cookies vb.) etkinleştirme, anormal trafik tespit sistemleri ile olağandışı bağlantı taleplerini engelleme, kritik servislerin belirli IP’lere kısıtlanması. Örneğin, bir web sunucusuna yönelik SYN f lood saldırısını hafifletmek için sunucu üzerindeki işletim sistemi SYN cookies mekanizmasını kullanarak yarım kalmış bağlantıları yönetebilir.

• Oturum Katmanı (Katman 5): İki uç sistem arasındaki oturumların (ör. bir kullanıcı ile sunucu arasındaki oturum) yönetildiği katmandır. Modern mimarilerde genellikle taşıma veya uygulama katmanına entegre olduğundan ayrı saldırı vektörleri sınırlıdır.

Olası tehdit: Oturum ele geçirme saldırıları (ör. web uygulamalarında oturum kimliklerinin çalınması).

Savunma: Oturum kimliklerinin tahmin edilemez ve başkalarınca ele geçirilse bile zaman aşımına uğrayacak şekilde tasarlanması, çok faktörlü kimlik doğrulama ile oturum güvenliğinin artırılması, ve şifreli protokollerin (TLS) kullanılması. Oturum katmanı güvenliği, uygulama seviyesinde güvenlik mekanizmalarıyla desteklenir.

• Sunum Katmanı (Katman 6): Verinin formatlanması ve şifrelenmesi bu katmanda ele alınır. Tehditler: Zayıf ya da eskimiş şifreleme algoritmaları (örn. eski SSL/TLS sürümleri) nedeniyle verinin kırılması, veri sıkıştırma istismarları (CRIME/BREACH gibi ataklar).

Savunma: Güçlü şifreleme protokollerinin (TLS 1.3, AES-GCM gibi) kullanılması, sertifika ve anahtar yönetiminin düzgün yapılması, hassas verilerin her zaman şifreli tutulması. Sunum katmanında güvenlik, uygulamaların güçlü kriptografik standartları uygulamasına dayanır.

• Uygulama Katmanı (Katman 7): Kullanıcıya en yakın katmandır; HTTP, DNS, SMTP gibi protokoller bu katmanda çalışır.

Tehditler: SQL enjeksiyonu, XSS gibi uygulama açıkları, DNS zehirlenmesi, e-posta kimlik avı gibi uygulama düzeyinde saldırılar. Ayrıca bu katmanda zararlı yazılımlar (truva atları, fidye yazılımları) kullanıcı etkileşimiyle çalışabilir.

Savunma: Web Uygulama Güvenlik Duvarları (WAF) kullanarak uygulama trafiğini filtreleme, güvenli yazılım geliştirme uygulamaları (kod incelemesi, girdi doğrulama) ile uygulama açıklarını minimize etme, DNS güvenlik uzantıları (DNSSEC) ile DNS yanıtlarının bütünlüğünü sağlama, e-posta güvenlik ağ geçitleri ile spam/oltalama filtreleme.

Her katmanda mevcut saldırı yüzeyini anlamak ve uygun kontrolleri uygulamak, bütünsel ağ güvenliği için şarttır. Nitekim “her katmandaki saldırı türlerini ve zafiyetleri belirleyip uygun savunma stratejileri uygulamak, bir ağı korumak için son derece önemlidir” . Örneğin, fiziksel katmanda bir saldırganın kabloya erişimi engellense bile, veri bağı katmanında MAC filtreleri yoksa aynı saldırgan ağ içi dinleme yapabilir. Bu yüzden, ağ mimarları OSI modelinin tüm katmanlarında güvenlik prensiplerini hayata geçirmelidir.