ÖZET Anahtar Kelimeler : İnternet Güvenliği, Bilgisayar Ağlan Güvenliği, Ağ Güvenliği, Şifreleme, DES, 3DES, AES, IPSec, SSL, Ateşduvan, IDS, Güvenlik Saldırıları. İnternet'in temel iletişim dili ya da protokol kümesi olan TCP/IP V.4 1970'li yıllarda yapılan çalışmaların neticesi olarak ortaya çıkmış ve hemen 1980'lerin başlarında dökümante edilmiştir. Yaklaşık 25 yıldır herhangi bir değişikliğe uğramadan günümüze kadar varlığını sürdürmüş ve yakın gelecek için de varlığının sürmesinde herhangi bir kuşku bulunmamaktadır. Son çeyrek aşırın en önemli gelişmelerinden biri olan İnternet, iş yaşamı, bilgiye erişim şekli ve toplumsal alışkanlıklar üzerinde derin değişiklikler oluşturmuştur. İnternet'in insan hayatında vazgeçilmez bir yere sahip olmaya başlamasıyla, zaman içinde bir dizi problem ortaya çıkmıştır. Bu problemlerden en önemlisi "İnternet Güvenliği"dir. TCP/IP V.4'ün geliştirilmesi sırasında duyulan ana kaygı sağlam bir iletişim alt yapısı sağlayacak bir protokol ortaya koymaktır. Protokolün dizaynı sırasında güvenlik dikkate alınmamıştır. TCP/IP V.4 en temel güvenlik servisleri olan; veri gizliliği, veri bütünlüğü, erişim kontrolü, kimlik denetimi ve inkar edememe servislerinden herhangi birsini sağlamamaktadır. İnternet üzerinde gerçekleştirilen bazı uygulamalar için güvenlik kaçınılmaz olduğu için farklı güvenlik teknolojilerinin geliştirilerek TCP/IP ile entegre çalışması sağlanmıştır. Verinin İnternet üzerinde dolaşımı sırasında başka kişiler tarafından gözlenmesinin önüne geçilmesi için DES, 3DES, AES, RC5 gibi şifreleme algoritmaları geliştirilmiştir. Yine web uygulamlarmm güvenliğini sağlamak amacıyla SSL, TLS kullanılmaktadır. Sistem güvenliğini tam olarak sağlamak için yerel ağlan, İnternetten ayıracak ateşduvan cihazlan kullanılmaktadır. İnternetten gelebilecek saldmlan tespit etmek ve gerekli önlemleri almak için IDS teknolojisi kullanılmaktadır. TCP/IP V.4'ün kendi içinde taşıdığı güvenlik problemleri sistem yöneticileri tarafından iyi bilinmeli, buna göre de sistemin kurulumu ve işletimi gerçekleştirilmelidir. İnternet üzerinden çalıştıralacak uygulamalann devreye alınmasından önce uygulamanın gereksinim duyduğu güvenlik seviyesi belirlenmeli ve bu güvenlik seviyesini sağlayacak teknolojiler kullanılmalıdır. xı
SECURITY PROBLEMS AND METHODS OF TCP/IP V.4 SUMMARY Keywords : Internet Security, Network Security, Computer Security, Encryption, DES, 3DES, AES, IPSec, SSL, Ateşduvan, IDS, Security Attacks. TCP/IP V.4 which is the main language or protocol stack of Internet, was appeared as the result of some researches in 1970s and documented in the beginning of 1980s. TCP/IP V.4 has never changed for this twentyfive years and in the close future there is no doubt about its existence. Internet has made a lot of changes in business life, social relationships, the style of accessing information. As the Internet becomes more worthy for human life then some problems had appeared. The most important one is "Internet Security". In the development process of TCP/IP, the main idea was to implement a protocol that gives robust communication infrastructure. Security was not the desired point in the design of the protocol. TCP/IP V.4 does not give the main security services such as data confidentiality, data integrity, access control, authentication and non- repudation. Some applications in the Internet relies on security, with this need many security technologies have been developed to work with TCP/IP. To prevent the information which is relayed on the Internet to be seen by others, encryption algorthims such as DES, 3DES, AES, RC5 are used. To establish security for web applications SSL and TLS are used. For the complete security of the system, firewalls are used to diffrentiate LAN and the Internet. To detect and respond to the security attacks IDS technologies are used. The security problems of TCP/IP should be well known by the system administrators, and the system should be designed and operated with this knowledge. If there is an application will work on the Internet, then first the security level that the application needs must be determined then the appropriate security technologies should be chosen to implement the security for the application. xn