Please enable JavaScript.

Coggle requires JavaScript to display documents.

XX (Diğer Konular, OS, Network, Cache Sunucuları:, Algoritma/Yazılım…

- - - - Saydam,Anonim ve elit olmak üzere 3 farklı proxy türü bulunur.Saydam,Anonim ip gizlemesi %90'a kadar.Elitte ip tamamen gizlenir . LOG TUTARLAR
  - - - DV:Domain Validation:Sitenin gerçek sahibi olduna dair kanıt olarak az dogrulama,Sadece Browserlarda 'Secure' yazar
      - OV:ORganization Validation veya EV:Extenden Validation: Sitenin gerçek sahibinden sitenin onun olduguna dair İsim,Şirket,Ticari işletme Kaydı,Telefon Numarası gibi Geniş dogrulama olarak verilen Certifakadır,Browserlarda Şirket ismi olarak sertifika kaydı yazar
      - Bir Örnek:Bahsedilen Mesela Phishing site (garanti bankasının sahte sitesine bilmeyerek istek yapdık)Garanti Bankası sertifikası yerine size (sahte site)kendi sertifikasını gönderir. Tarayıcınız Domain ismini sertifikayla(orjinal siteninin kayıtlı CA ile) eşleştiremediği için site 'Tehlikeli' hatası verir.
        Site size Garanti’nin sitesinden ulaşabildiği sertifikayı gönderir. Tarayıcı sertifikadaki Public Key ile TLS akışını başlatır fakat karşı sunucuda Garanti'nin Private Key'i (sahte sitenin Orjinal CA sahip )olmadığı için mesaj okunamaz dolayısıyla iletişim kesilir.
      - EkNot:Son yıllarda, kar amacı gütmeyen ve ücretsiz SSL sertifika sağlamak üzere kurulan Let’s Encrypt ile efektif bir biçimde DV tipi sertifikalar otomatik olarak imzalanabilmekte ve yine otomatik olarak yenilenebilmektedir. Let's Encrypt sertifikası üretmek isteyen siteler, ACME protokolünün implementasyonu olan Certbot adlı istemciyi kullanmaktadır. İlerleyen flood'larda Certbot'un nasıl çalıştığına da detaylıca bakacağız.
    - - Simetrik:Veriyi tek anahtarla şifrelenir ve açılır.Dezavantaj tarafı bu anahtarın karşıda(client or serverda) olması gerek yani paylaşıldıgından dolayı başka kişiler eline geçebilir , ve anahtarın özelliginden dolayı bu anahtarın sık sık değiştirilmesi lazım.Şifreleme türleri:AES, DES, DES3, vb
      - Asimetrik:Veri 2 anahtarla şifrelenir,2 anahtar bulunur Public ve Privatedir.Verinin deşifre edilebilmesi için her 2 tarafdada ya public yada private anahtar bulunması lazım burda ANAHTAR paylaşımı yokdur.CA Otoritetilerinin kullandıgı anahtar türüdür.Public Key ile şifrelenen veri Private Key ile, Private Key ile şifrelenen veri ise Public Key ile deşifre edilebilir. Adlarından da anlaşılacağı gibi Private Key kişiye özel(BURDA SUNUCU) gizli bir anahtar, Public Key ise herkese açık bir anahtardır. İletişime geçilmek istenen kişinin Public Key’i ile şifrelenen veri sadece ilgili kişinin Private Key’i ile deşifre edilebileceği için güvenli bir şekilde ilgili kişiye iletilebilir.
      - Özetle SSL/TLS Handshake iletilen verilerin şifrelenebilmesi için ortak simetrik anahtarı üretmek yani gizliliği sağlamak ve iletişim kurulan sunucunun(Public/private anahtarlar ile ) gerçek kimliğini doğrulamakla yükümlüdür ve bunları anlatılan yöntemlerle yapmaktadır.
    - - Kullanım alanları
        
        B2B - Business to Business -sektöründe;Atm,pos cihazları
        
        SSh bağlantılarında
        
        Cluster oluşturmak için bir araya gelen servislerin birbirlerinin kimliklerini doğrulamalarıdır.
      - Son olarak Mutual Authentication'da dijital sertifika ve sertifikanın içindeki Public Key'e karşılık gelen Private Key'in güvenli şekilde saklanması önemlidir. İnsan etkileşimi olan bilgisayarlarda bu bileşenleri bilgisayar üzerinde tutmak güvenlik açısından sakıncalıdır. Bu gibi durumlarda dijital sertifika ve Private Key bir USB cihazında veya SmartCard'da tutularak gerekli güvenlik sağlanabilir.
  - - - Gerek yukarıda anlatılan senaryoda gerekse Sticky Session'ının cookie üzerinden yapılmak istendiği senaryoda LB'nin HTTP trafiğini anlaması yani HTTP paketini çözümlemesi gerekecektir, bu yapı LB'nin Layer 7'da çalışmasını zorunlu kılar.
    - - Yazılımsal:HAProxy ve Nginx
      - Donanımsal:F5 ve Netscaler
      - Cloud Based Load Balancer: Google Cloud, AWS ELB, Cloudflare
    - - Bu durumda uygulama sunucusunda istek yapan IP’yi loglamak istersek kullanıcı IP’si yerine LB’nin IP’sini loglamış oluruz. Uygulama sunucularının kullanıcıların IP’lerini öğrenmeleri gerektiğinde LB üzerinde X-Forwarded-For HTTP header'ının doldurulması için ayar yapılır. Böylece uygulama sunucuları LB'den gelen HTTP paketinde X-Forwarded-For header'ına bakarak LB IP'si yerine kullanıcının IP'sini elde edebilir.
  - - - Web Sunucu Makınası klasörü
      - İstekleri karşılayanWeb sunucusu Anlık Hafızası
        
        Load Balancer'larda Session Stickness özelliği vardır.
      - Veritabanı
      - Session Servisleri(Redis,MemCached)
    - - 1.Oturum bilgilerinin tutulması(Session ıd) ve Hangi pathler için geçerli olucapının belirlenmesi Örn: / ('/' yazarsa tüm domainler)
      - 2.Tarayıcının sunucuya yapdığı istekleri sunucunun kimden geldigini ayırt etmesini sağlar.
    - - Geçiçi(Beni hatırlaya tıklamadıgı sürece)
      - Persistent Cookie:Belirli süre(Expire Date) (Normalde tarayıcı kapandıgında silinir.)
  - - - 1.En popüler:Html ve Dinamik istekler web sunucusuna ama html içerikleri(css,js,video vs.) gibi işlemler cdn üzerinden erişilir
      - 2.Ana sayfa,alt sayfalar ve tüm 'Dinamik' içerikler dışındaki kaynaklar cdn üzerinden alınır.Dinamik içerikler web sunucusundan ajax vs. servisler yardımıyla iletilir(Login işlemi ...)
      - 3.Tüm içerik Statik ve Dinamik,Apı isteklerin işlemlerin hepsi CDN üzerinden erişilir.CDN dinamik işlemlerde(içerigi cacheleyemediginden) bizim adımıza giderek istenilen veriyi sorgular/getirir bu sayede direk WEB SUNUCUYLA iletişim kurulmaz.Cloudflare,Global Cdn servislerinin kullandıgı yöntemlerdendir.Dns kayıtları cdn sunucusunun ip adresi olarak kaydedilir. Örn: youtube.com --> ip adres(1.1.1.1 = Cdn sunucusu mesela)
        
        Avantajları
        
        Web sunucu ipsi gizlenir.Bu sayede direk web sunucuyla iletişim kurulmaz.DDOS,SQL,XSS gibi zafiyetleri CDN sunucunun sundugu KORUMAYLA engellenir.
        
        DezAvantaj
        
        Bu yöntemin en önemli dezavantajı HTTPS ile gelen şifrelenmiş trafiğin Orjinal sunucuya iletilebilmesi için çözülmesinin gerekmesi, bunun da finansal ve mahrem bilgiler içeren siteler için büyük sayılacak bir güvenlik açığı riski oluşturmasıdır.
  - - - Cache-control:public max-age:7200
        
        Veriyi hafızaya alıp süre boyunca sunucudan tekrar veri alınmaz,tekrar eden isteklerde Cacheden kaynak verilir.Eğerki "Private" olursa veri hafızada sadece o kişiye özel cihazda cachlenir.(ISP veriyi cacheleyemez).Bununla birlikte HTTPS veriler ASLA CACHELENEMEZ ARACI CİHAZLAR TARAFINDAN
      - Last-modified:Aynı yöntemin bir değişigidir.
        
        Veri belirtilen tarihden önce değişmediyse veri Cacheden gönderilir,ve istek 304 hatası ile karşılanır
        
        304 - Not Modified
      - ETag - Entity Tag:Bir diğer aynı yöntemdir.
        
        Veri Kontrol edilir.Tarih veya Hash değerine göre : If-Modified-Since ya da If-None-Match
      - No-Cache:Verinin cachlemez
        
        Cache-control:no-cache
        
        Cache-control:no-store
    - - İki yük dağıtıcı ile yüksek erişilebilir bir sistem kurmak için cluster IP’si olarak bu iki yük dağıtıcının IP’sinden farklı bir Virtual IP (Floating IP) kullanılır. İstemciler sisteme Floating IP'den erişirler. Floating IP, Master - Aktif yük dağıtıcıya atanır. Master yük dağıtıcı istemcilerden Floating IP için gelen ARP isteklerine kendi MAC Adresi ile cevap verir böylece trafik Master yük dağıtıcıya gönderilir. Sistemdeki diğer yük dağıtıcı ise Backup - Pasif olarak adlandırılır üzerinden trafik akmaz ancak hazır bekler.
      - VRRP ile yüksek erişilebilirliği sağlanan ağ elemanları birer Priority numarası ile yapılandırılır. Yüksek erişilebilirliği sağlanan bütün ağ elemanları ulaşılabilir (normal) durumdayken trafik, Priority'si en yüksek olan ağ elemanına yönlendirilecek şekilde aksiyon alınır. Bu sayede ağda aynı işlevi görebilen elemanlardan donanım olarak en güçlü olanının sürekli olarak Master ya da Aktif durumda olması garanti altına alınır. Diğer ağ elemanları ancak Priority'si yüksek ağ elemanları ulaşılabilir değilse kontrolü alabilirler.
      - Yüksek erişilebilirlik sağlamak adına aynı işlevi görmek üzere bir araya gelen ağ elemanları birbirlerinin sağlık durumlarını VRRP için ayrılmış 224.0.0.18 multicast IP üzerinden test ederler. Master olarak belirlenmiş ağ elemanı multicast paketlere belirli bir süre cevap vermezse Backup ya da Pasif olarak belirlenmiş ağ elemanları birbirlerine multicast paketler göndererek yeni Master'ı seçerler. Sadece iki ağ elemanının olduğu durumda kontrol Backup olarak belirlenen ağ elemanına geçmiş olur.
      - Master değişimi olduğunda ağda bulunan diğer elemanların Floating IP ya da VIP'in MAC adresinin değişiminden haberdar edilmesi gerekir. Bu noktada Unsolicited ARP veya Gratuitous ARP adı verilen paketler ARP tablolarının güncellenmesi için ağa broadcast edilir.
    - - Virtual Hosting yöntemi sayesinde bir tek IP ile birçok web sitesi aynı sunucu üzerinde hizmet verebilir. Web sunucular aynı IP ve porta (80) gelen istekleri birbirinden ayrıştırabilmek için HTTP paketindeki aşağıda da gösterilen Host başlık parametresine bakarlar.
      - Bir sunucuda barındırılan bütün web siteleri için DNS'ten aynı IP'ye yönlendirme yapılır. Böylece istemciler FQDN - Fully Qualified Domain Name'leri kullanarak DNS'ten IP'leri çözerek web sunucuya ulaşırlar. Web sunucu da Host başlığından isteği ilgili sunucuya iletir.
        Burada aslında sürekli web sunucu olarak belirtmiş olsak da pratikte ve büyük ölçekte istekleri yük dağıtıcılar (Load Balancer) karşılar ve yük dağıtıcılar yine Host başlığına bakarak isteğin hangi IP veya IP'lere dağıtılması gerektiğine karar verirler.
      - Yandaki görüldüğü gibi web sitelerinin yüksek erişilebilirliğini sağlamak üzere genel olarak web istekleri bir yük dağıtıcıda karşılanır ve yük dağıtıcıdan sıralı olarak birkaç web sunucuya yönlendirilir. Bu web sunucular da Virtual Hosting ile birkaç web sitesini sunarlar.
      - HTTP olarak sunulan sitelerde Host başlığına bakarak istekleri birbirinden ayırmak mümkün olsa da HTTPS'te paketlerin şifrelenmesi için gerekli olan SSL/TLS Handshake'ten dolayı durum biraz daha karmaşıktır. HTTPS sitelerde SNI - Server Name Indication adlı eklentiyle istemci, web sunucu veya yük dağıtıcıya hangi web sitesine (example.com) istek atacağını SSL/TLS Handshake'in başında söyler. Bu sayede sunucu istemciye doğru web sitesinin (example.com) sertifikasını gönderir, SSL/TLS Handshake alınan bu sertifika ile devam ettirilir.
        Aşağıdaki ekran görüntüsünde SSL/TLS Handshake'in ilk adımı olan Client Hello mesajında https olarak ulaşılmaya çalışılan sitenin sunucu isminin gönderildiği görülmektedir.
      - SNI aynı IP'de aynı domain altında olma zorunluluğu olmadan birçok web sitesinin sunulmasını sağlasa da önemli bir dezavantaj getirmektedir. Ağı dinleyen bir kişi ya da servis sağlayıcı, trafik HTTPS de olsa istemcinin hangi siteye erişim sağladığını görebilir.
    - - Sop &Cors:
        
        A sitesinin B sitesinden veri çekip/veri yazma,Kaynaklarına(Ajax,Fetch Apileri vs..) ulaşılmasının iznini belirler.Tarayıcı tarafindan alınan bir önlemdir,yapılandırması sunucu tarafında yapılır.Amaç:Kullanıcıyı Korumak(Mesela: Oturum açılmıs A sitesindeki verilerinin B sitesine gönderilmesi gibi)
        İzni B sitesinin web sunucundaki yapılan ayarlarla belirlenir.
      - Cors
        
        Girdigimiz Siteninin içeriginin "Nereden Yüklenicegini ve Yüklenen içerigin" (inline veya extranel script,css vb. dosyalar olsa bile) çalışıtırılıp/çalıştırılmaması iznini verir.Amaç:Kullanıcıyı korumak : Csp Politicasındalki her başlıgı "TÜM TARAYICILAR" desteklemez.Csp ile bazı güvenlik zayifietlerinin önüne geçilmesi(xss,frame jacking) amaçlanmışdır.
      - HPKP - HTTP Public Key Pinning, web sunucunun Public Key'inin parmak izinin tarayıcıda pinlenmesi ve tarayıcının ilgili site için kendisinde pinli Public Key parmak izinden başka bir Public Key'den oluşan sertifikaları kabul etmemesi üzerine kurulu bir mekanizmadır.
      - SRI:SubResource İntegrity:SRI, bir saldırganın web dosyalarınızı ele geçirmesi ve kötü amaçlı değişiklikler yapmaya çalışması durumunda içeriğinizin korunmasını sağlamanın harika bir yoludur. Tarayıcınız alt kaynak bütünlüğünü kullanmada uyumluysa, dosyaların ve değiştirilmiş ve hashes eşleşmediğini algılar. Bu nedenle, saldırgan bir dosyaya kötü amaçlı kod ekleyebilse de, dosya yüklenmeyeceğinden web sitesi ziyaretçileri zarar görmez, böylece güvenlik ve koruma iyileşir.
- - - - Stateful Firewall:Port,Protokol bazında paket bazlı engelleme
        
        Ephemeral Port üzerinden cevap gönderebilir.
        Gelişmiş versiyonlarda (Stateful Firewall) ise Firewall, istemcinin sunucuya yaptığı isteğin paketinden hangi Ephemeral Port'tan istek yapıldığını çözümler ve sadece istek yapılan IP ve porttan geri dönüşlere izin verir, bütün Ephemeral Port'ları korumasız bırakmaz.
      - Application Firewall:Protokol,Uygulama bazlı engelleme
        
        Yukarıda bahsedilen paket bazlı inceleme yapan Firewall'lara ek olarak protokol seviyesinde inceleme yapabilen ve uygulama seviyesinde çalışan Application Firewall'lar da vardır. Application Firewall'lar sayesinde hizmet vermek üzere açık bırakılan portlardan (örn HTTP 80) sızma girişimleri önlenebilir. Gelen paket bütünüyle incelenerek paketin ilgili porttan (örn 80) beklenen trafiğe uygun bir paket (örn HTTP) olup olmadığı belirlenir ve protokole uygun olmayan paketler Firewall arkasındaki sunuculara geçirilmeden bloklanır.
      - Generation WAF:Payload bazlı engelleme
        
        Son olarak, Web Application Firewall - WAF adındaki özelleşmiş Firewall, web uygulamaları ve uygulama sunucularının güvenliğini sağlamakta kullanılır. Bu yazılımlar uygulamaya gelen/giden trafiği inceleyerek isteklerde SQL Injection, vb bir atak olup olmadığını tespit eder. Atak tespit edilirse istek uygulama sunucusuna gönderilmeden bloklanır. Gelişmiş WAF cihazları bir uygulamaya aynı IP'den gelen normal sayının üzerinde trafiği tespit ederek trafiği ilgili sunucuya yönlendirmeden önce Captcha, vb testlere tabi tutar ve sunucuları korur.
      - Tanım:Firewallar özel üretilmiş devreler sayesinde bu işi yapar ,gücünü işlemciden alır.2'ye ayrılır
        
        Özel Sırf Firewall için özel üretilmiş cihazlar
        
        Dahili sistemle beraber gelen firewallar.. Örn:İşletim sistemiyle gelen Firewallar
        
        Firewall'lar ağ paketlerini kaynak, hedef IP adresi, port ve protokole (TCP, UDP, IP, vb) göre filtreleyebilir. Önceki flood'lardan hatırlanacağı üzere istemciler bir sunucuya erişirken işletim sisteminden Ephemeral Port Range adı verilen yüksek portlardan (49152 - 65536) bir port alarak karşıdaki sunucu ile bağlantıya geçerler. İlkel Firewall'lar istemcinin HTTP, SMTP, vb servislere erişebilmesi için istemciye Ephemeral Port'tan gelen trafiğe izin verirler. Böylece sunucu istemciye
- - - - Char,varchar,nchar,nvarchar,text,ntext
    - - bit,tiynint,int,bigint
    - - decimal,float,real
    - - binary,varbinary,varbinary(max)
    - - Xml,Guid, Hierarchyid, Geography,Geometry