Pardus Sistemlerinde Katmanlı Tarama Yaklaşımları: L1’den L7’ye Ağ ve Güvenlik Analizi
Giriş
Kurumsal ağ yönetiminde görünürlük, güvenliğin ilk basamağıdır. Pardus ve diğer GNU/Linux tabanlı sistemlerde ağ trafiği ve sistem zafiyetleri, OSI (Open Systems Interconnection) referans modelinin yedi katmanına yayılan farklı yöntemlerle analiz edilir. Bu makalede, L1’den L7’ye kadar olan tarama yöntemlerinin teknik detayları, kullanım senaryoları ve Pardus ekosistemindeki uygulama metodolojileri ele alınmaktadır.
Amaç/Kapsam
Bu rehber, kurum içi ağ görünürlüğünü %100’e çıkarmayı, gölge BT (unmanaged devices) varlıklarını tespit etmeyi ve servis sürekliliğini doğrulamayı amaçlar. Kapsam, fiziksel katmandan uygulama katmanına kadar olan tüm denetim metodolojilerini içerir.
Önkoşullar
Analizlerin sağlıklı yürütülebilmesi için Pardus sisteminde şu yapılandırmalar bulunmalıdır:
- Gelişmiş Ağ Araçları:
tcpdump,nmap,ethtool,arp-scan,fping,mtrpaketlerinin yüklü olması. - Kernel İzinleri: Ham paket (raw socket) oluşturabilmek için
rootyetkisi. - VLAN Yapılandırması: Tarama yapılacak sistemin ilgili VLAN trunk veya access portunda doğru yapılandırılması.
sudo apt install tcpdump nmap ethtool arp-scan fping mtr -yKatman Analizleri
L1 taraması, verinin iletildiği fiziksel ortamın (bakır/fiber/kablosuz) bütünlüğünü hedefler. “Sinyal yok” veya “CRC hataları” gibi sorunlar burada teşhis edilir.
- Ne Zaman Kullanılır: Fiziksel bağlantı şüphesinde, port hız uyuşmazlıklarında.
- Detay: Ağ kartının (NIC) link durumunun, hızının (1000Mbps/10Gbps) ve duplex modunun doğrulanmasıdır.
Katman 2 (L2 – Veri Bağı Katmanı) Denetimi
L2 taraması, IP adreslerinden bağımsız olarak ağdaki cihazların MAC adresleri üzerinden tespit edilmesini sağlar.
- Ne Zaman Kullanılır: IP adresi atanmamış cihazları bulmak, IP çakışmalarını çözmek ve sahte (spoofed) cihazları tespit etmek için.
- Önemi: Güvenlik duvarları (Firewall) genellikle IP bazlı koruma sağlar ancak L2 taraması doğrudan anahtarlama (switching) seviyesindeki varlıkları ortaya çıkarır.
Katman 3 (L3 – Ağ Katmanı) Denetimi
L3 taraması, kurumun IP bloklarındaki (Subnet) canlı ana makineleri (hosts) bulmak için kullanılır.
- Ne Zaman Kullanılır: Envanter çıkarma ve ağ segmentasyonu testlerinde.
- Önemi: ICMP (ping) paketlerine kapalı olan cihazların dahi, yönlendirme tabloları üzerinden tespit edilmesi sürecidir.
Katman 4 (L4 – İletişim Katmanı) Denetimi
TCP ve UDP segmentlerinin denetlendiği aşamadır.
- Kullanım: “Hizmet çalışıyor mu?” sorusunun yanıtıdır. Portların (80, 443, 22, 3389 vb.) “Open”, “Closed” veya “Filtered” (güvenlik duvarı engeli) durumları analiz edilir.
Katman 5-6 (Oturum ve Sunum Katmanı) Denetimi
Bu katmanlar genellikle modern taramalarda L7 ile birleşik ele alınsa da; şifreleme (SSL/TLS) sertifikalarının geçerliliği ve veri kodlama biçimlerinin (JSON, XML) doğruluğu burada denetlenir.
Katman 7 (L7 – Uygulama Katmanı) Denetimi
En üst seviye taramadır. Servislerin sadece açık olup olmadığını değil, hangi versiyonu kullandığını ve ne tür yanıtlar verdiğini analiz eder.
- Kullanım: HTTP başlık analizi, SQL servisinin sürüm tespiti, DNS sorgu yanıtlarının doğrulanması.
| Katman | Seviye | Odak Varlık | Temel Protokoller | Pardus/Linux Aracı |
| L1 | Fiziksel | Kablo/Sinyal | Ethernet, Fiber | ethtool, mii-tool |
| L2 | Veri Bağı | MAC Adresi | ARP, STP, VLAN | arp-scan, ip neigh |
| L3 | Ağ | IP Adresi | ICMP, IGMP, IPsec | fping, nmap -sn, mtr |
| L4 | İletişim | Port (TCP/UDP) | TCP, UDP, SCTP | nmap -sS, nc |
| L5/L6 | Oturum/Sunum | Şifreleme | SSL/TLS, RPC | openssl s_client |
| L7 | Uygulama | Servis Yanıtı | HTTP, DNS, SSH | curl, dig, nmap -sV |
GUI ile Yapılışı
Pardus arayüzünde profesyonel analiz için Wireshark (L2-L7 arası tüm trafik için) ve GVM (Greenbone) kullanılır:
- Wireshark: Arayüzü seçip “Promiscuous Mode”u aktif ederek ağdaki tüm paket akışını anlık izleyebilirsiniz.
- GVM: Web arayüzü üzerinden “Full and Fast” tarama profili ile L7 seviyesindeki tüm bilinen zafiyetleri (CVE) raporlayabilirsiniz.
Terminal ile Yapılışı
BT yöneticileri için en hızlı yöntem terminal tabanlı komut dizileridir:
1. L1 Fiziksel Link Kontrolü:
# Donanım seviyesinde bağlantı var mı?
sudo ethtool eth0 | grep "Link detected"Code language: PHP (php)2. L2 Yerel Ağdaki Gizli Cihaz Keşfi:
# IP'si olmayan veya ping'e kapalı cihazları MAC üzerinden bulur
sudo arp-scan --localnet --interface=eth0Code language: PHP (php)3. L3 Geniş Ağ Taraması (Host Discovery):
# Sadece hangi cihazlar ayakta? (Hızlı Envanter)
fping -asg 10.10.0.0/24Code language: PHP (php)4. L4 ve L7 Derinlemesine Servis Analizi:
# Versiyon tespiti (-sV) ve varsayılan betik taraması (-sC)
sudo nmap -sV -sC -p 22,80,443,3389 192.168.1.50Code language: CSS (css)Test – Kontrol Aşaması
- Uzaklık Testi (L3): Paketlerin kaç sekmede (hop) hedefe ulaştığını
mtr(My Traceroute) ile kontrol ederek ağdaki gecikme (latency) noktalarını bulun. - Doğrulama: Tarama sonuçlarında “open” gözüken bir portun, L7 seviyesinde gerçekten doğru yanıt verip vermediğini
curl -I [IP]ile HTTP başlıklarından teyit edin.
Sıkça Sorulan Sorular
nmap taraması yaparken neden bazen sonuç alamıyorum?
Hedef sistemdeki güvenlik duvarı (iptables/ufw) paketleri “DROP” ediyor olabilir. -Pn parametresiyle ping atmadan tarama yapmayı deneyebilirsiniz.
L2 taraması (arp-scan) uzak bir ağda (farklı subnet) çalışır mı?
Hayır, ARP taraması sadece aynı fiziksel ağdaki (broadcast domain) cihazları bulabilir. Farklı ağlar için L3 taraması gerekir.
ethtool ile “Link detected: no” görüyorsam sorun kesin donanımsal mıdır?
Büyük ihtimalle evet; kablo çıkmış, karşı port (switch) kapalı veya ağ kartı sürücüsü hatalı olabilir.
L7 taraması yapmak yasal mıdır?
Sadece yetkili olduğunuz veya size ait ağlarda tarama yapmalısınız; kurumsal ağlarda izinsiz L7 analizi güvenlik ihlali sayılabilir.
Wireshark ve tcpdump arasındaki fark nedir?
Wireshark görsel (GUI) bir analiz sunar; tcpdump ise sunucu gibi arayüzü olmayan sistemlerde terminal üzerinden trafik izlemek için kullanılır.
Dikkat Edilmesi Gerekenler
- ARP Önbelleği (L2): Eski MAC adresleri sizi yanıltabilir; tarama öncesi
ip -s neigh flush allile önbelleği temizleyin. - Firewall Drop (L4): Bazı Firewall cihazları tarama algıladığında portu “filtered” yerine “closed” gibi gösterebilir. Bu durumda
-T2(yavaş tarama) moduna geçilmelidir. - Yük Dengeleyiciler (L7): Bir L7 taramasında aldığınız yanıt gerçek sunucudan değil, önündeki bir Load Balancer’dan geliyor olabilir. IP adreslerini bu gözle analiz edin.
