- Katılım
- 15 May 2013
- Konular
- 972
- Mesajlar
- 6,656
- Online süresi
- 2ay 11g
- Reaksiyon Skoru
- 5,350
- Altın Konu
- 314
- Başarım Puanı
- 319
- TM Yaşı
- 12 Yıl 11 Ay 13 Gün
- MmoLira
- 22,230
- DevLira
- 15
Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!
Bir CDN için güvenlik riskleri nelerdir?
İnternete açık tüm ağlar gibi, CDN'ler de yol üzerindeki saldırılara, veri ihlallerine ve DDoS saldırıları kullanılarak hedef alınan kaynak sunucunun ağını aşırı yükleme girişimlerine karşı korunmalıdır. Bir CDN, uygun SSL/TLS şifrelemesi ve özel şifreleme donanımı da dahil olmak üzere güvenlik açıklarını azaltmak için birden fazla stratejiye sahip olabilir.
SSL/TLS şifrelemesi nedir?
Taşıma Katmanı Güvenliği (TLS), İnternet üzerinden gönderilen verileri şifrelemek için kullanılan bir protokoldür. TLS, ilk yaygın olarak benimsenen web şifreleme protokolü olan Güvenli Soket Katmanı'ndan (SSL) türemiştir ve önceki protokolün güvenlik açıklarının çoğunu gidermek için geliştirilmiştir. Sektör, tarihsel nedenlerle bu terimleri hala birbirinin yerine kullanmaktadır. http:// yerine https:// ile başlayan herhangi bir web sitesini ziyaret ettiğinizde, tarayıcı ile sunucu arasındaki iletişim için TLS/SSL kullanılıyor demektir.
Saldırganların önemli verilere erişmesini önlemek için uygun şifreleme uygulamaları bir zorunluluktur. İnternet, verilerin birçok konum arasında aktarılmasını sağlayacak şekilde tasarlandığı için, önemli bilgilerin paketlerinin dünya çapında hareket ederken ele geçirilmesi mümkündür. Kriptografik bir protokol kullanılarak, yalnızca amaçlanan alıcı bilgiyi çözebilir ve okuyabilir; aracıların aktarılan verilerin içeriğini çözmesi engellenir.
TLS protokolü 3 bileşen sağlamak üzere tasarlanmıştır:
Kimlik Doğrulama - Sağlanan kimliklerin geçerliliğini doğrulama yeteneği
Şifreleme - Bir sunucudan diğerine gönderilen bilgileri gizleme yeteneği
Bütünlük - Sahteciliği ve kurcalamayı tespit etme yeteneği
SSL sertifikası nedir?
TLS'yi etkinleştirmek için bir sitenin bir SSL sertifikasına ve ilgili bir anahtara ihtiyacı vardır. Sertifikalar, bir sitenin sahibi hakkında bilgi ve asimetrik anahtar çiftinin genel yarısını içeren dosyalardır. Bir sertifika yetkilisi (CA), sertifikadaki bilgilerin doğru olduğunu doğrulamak için sertifikayı dijital olarak imzalar. Sertifikaya güvenerek, sertifika yetkilisinin gerekli özeni gösterdiğine güvenmiş oluyorsunuz.
İşletim sistemleri ve tarayıcılar genellikle örtük olarak güvendikleri sertifika yetkililerinin bir listesine sahiptir. Bir web sitesi güvenilmeyen bir sertifika yetkilisi tarafından imzalanmış bir sertifika sunarsa, tarayıcı ziyaretçiyi bir sorun olabileceği konusunda uyarır.
Sertifikalar ve bunların uygulanma biçimleri, güç, protokol desteği ve diğer özelliklere göre bağımsız olarak da derecelendirilebilir. Derecelendirmeler, daha yeni ve daha iyi uygulamalar kullanıma sunulduğunda veya diğer faktörler bir sertifika uygulamasının genel güvenliğinin azalmasına neden olduğunda zaman içinde değişebilir. Bir kaynak sunucunun daha eski ve düşük dereceli bir SSL güvenlik uygulaması varsa, genellikle daha düşük derecelendirilir ve tehlikeye karşı savunmasız olabilir.
Bir CDN, ağında barındırılan mülklerin ziyaretçilerine CDN tarafından sağlanan bir sertifika kullanarak güvenlik sağlama avantajına sahiptir. Ziyaretçiler yalnızca CDN'ye bağlandığı için, kaynak sunucu ile CDN arasında kullanılan daha eski veya daha az güvenli bir sertifika, istemcinin deneyimini etkilemez.
Gerçekçi olmak gerekirse, bu daha zayıf sunucu-uç nokta güvenliği hala bir güvenlik açığı oluşturmaktadır ve özellikle ücretsiz kaynak şifrelemesi kullanılarak kaynak sunucunun güvenliğinin kolayca yükseltilebileceği göz önüne alındığında, bundan kaçınılmalıdır.
Organik arama için de uygun güvenlik önemlidir; şifrelenmiş web siteleri Google aramasında daha güçlü sıralama sağlar.
SSL/TLS bağlantısı, geleneksel TCP/IP bağlantısından farklı çalışır. TCP bağlantısının ilk aşamaları tamamlandıktan sonra, güvenli bağlantıyı kurmak için ayrı bir alışveriş gerçekleşir. Bu makalede, güvenli bağlantıyı talep eden cihaza istemci, güvenli bağlantıyı sunan cihaza ise sunucu denilecektir; tıpkı SSL/TLS ile şifrelenmiş bir web sayfasını yükleyen bir kullanıcı örneğinde olduğu gibi.
Öncelikle TCP/IP el sıkışması 3 adımda yapılır:
İstemci, bağlantıyı başlatmak için sunucuya bir SYN paketi gönderir.
Sunucu daha sonra iletişimi onaylamak için bu ilk pakete bir SYN/ACK paketi ile yanıt verir.
Son olarak, istemci sunucudan gelen paketin alındığını onaylamak için bir ACK paketi gönderir. Bu paket gönderme ve alma dizisi tamamlandıktan sonra, TCP bağlantısı açılır ve veri gönderip alabilir hale gelir.
TCP/IP el sıkışması gerçekleştikten sonra, TLS şifreleme el sıkışması başlar. TLS el sıkışmasının uygulanmasının ardındaki ayrıntılı süreçler bu kılavuzun kapsamı dışındadır. Bunun yerine, el sıkışmasının temel amacına ve sürecin tamamlanması için gereken süreye odaklanacağız.
Genel olarak, bir TLS el sıkışmasının üç ana bileşeni vardır:
İstemci ve sunucu, iletişimde kullanılacak TLS sürümlerini ve şifreleme algoritmasının türünü müzakere eder.
İstemci ve sunucu, karşılıklı olarak doğrulanmış iletişimi sağlamak için adımlar atar.
Gelecekteki şifreli iletişimlerde kullanılacak bir anahtar değiş tokuş edilir.
Aşağıdaki diyagramda, bir TCP/IP el sıkışması ve bir TLS el sıkışmasında yer alan her adım görselleştirilmiştir. Her okun, istemci ve sunucu arasında fiziksel olarak hareket etmesi gereken ayrı bir iletişimi temsil ettiğini unutmayın. TLS şifrelemesi kullanıldığında, karşılıklı olarak gönderilen mesajların toplam sayısı arttığı için, web sayfası yükleme süreleri de artar.
Örnek vermek gerekirse, TCP el sıkışmasının yaklaşık 50 ms, TLS el sıkışmasının ise yaklaşık 110 ms sürdüğünü söyleyebiliriz. Bu büyük ölçüde, istemci ve sunucu arasında verilerin her iki yönde de gönderilmesi için geçen süreden kaynaklanmaktadır. Bilgilerin bir cihazdan diğerine ve tekrar geri dönmesi için geçen süre olan gidiş-dönüş süresi (RTT) kavramı, bir bağlantının oluşturulmasının ne kadar "maliyetli" olduğunu ölçmek için kullanılabilir. Optimize edilmeden ve bir CDN kullanılmadan bırakılırsa, ek RTT, son kullanıcılar için gecikme ve yükleme sürelerinde artış anlamına gelir. Neyse ki, toplam yükleme süresini iyileştirmek ve gidiş-dönüş sayısını azaltmak için yapılabilecek optimizasyonlar vardır.
SSL gecikmesi nasıl iyileştirilebilir?
SSL optimizasyonları, RTT'yi azaltabilir ve sayfa yükleme süresini iyileştirebilir. İşte bir TLS bağlantısının optimize edilebileceği 3 yol:
TLS Oturumunun Yeniden Başlatılması - Bir CDN, ek istekler için aynı oturumu yeniden başlatarak kaynak sunucu ile CDN ağı arasındaki bağlantıyı daha uzun süre canlı tutabilir. Bağlantının canlı tutulması, istemci önbelleğe alınmamış bir kaynak sunucuya ihtiyaç duyduğunda CDN ile kaynak sunucu arasındaki bağlantının yeniden müzakere edilmesi için harcanan zamandan tasarruf sağlar. Kaynak sunucu, CDN ile bağlantı sürdürülürken ek istekler almaya devam ettiği sürece, siteye gelen ek ziyaretçiler daha düşük gecikme süresi yaşayacaktır.
Oturum yeniden başlatmanın toplam maliyeti, tam bir TLS el sıkışmasının %50'sinden daha azdır; bunun temel nedeni, oturum yeniden başlatmanın yalnızca bir gidiş-dönüş maliyetine sahip olması, tam bir TLS el sıkışmasının ise iki gidiş-dönüş gerektirmesidir. Ek olarak, oturum yeniden başlatma büyük sonlu alan aritmetiği gerektirmez (yeni oturumlar gerektirir), bu nedenle istemci için CPU maliyeti, tam bir TLS el sıkışmasına kıyasla neredeyse ihmal edilebilir düzeydedir. Mobil kullanıcılar için, oturum yeniden başlatmanın sağladığı performans iyileştirmesi, çok daha hızlı tepki veren ve pil ömrü dostu bir internet deneyimi anlamına gelir.
TLS Yanlış Başlangıcını Etkinleştir - bir ziyaretçi siteyi ilk kez görüntülediğinde, yukarıda bahsedilen oturumun yeniden başlatılması faydalı olmayacaktır. TLS Yanlış Başlangıcı, göndericinin tam bir TLS el sıkışması olmadan uygulama verilerini göndermesine olanak tanır.
Yanlış Başlangıç (False Start), TLS protokolünün kendisini değiştirmez, yalnızca verilerin aktarılma zamanlamasını değiştirir. İstemci anahtar değişimine başladığında, şifreleme sağlanır ve veri aktarımı başlar. Bu değişiklik, toplam gidiş-dönüş sayısını azaltarak, gereken gecikmeyi 60 ms düşürür.
Sıfır Gidiş-Dönüş Süresi Yeniden Başlatma (0-RTT) - 0-RTT, bağlantıya ek RTT gecikmesi eklemeden oturumun yeniden başlatılmasına olanak tanır. TLS 1.3 ve 0-RTT kullanan yeniden başlatılan bağlantılar için bağlantı hızı iyileştirilir ve bu da kullanıcıların düzenli olarak ziyaret ettiği web siteleri için daha hızlı ve sorunsuz bir web deneyimi sağlar. Bu hız artışı özellikle mobil ağlarda fark edilir.
0-RTT etkili bir iyileştirmedir, ancak bazı güvenlik ödünleşmeleri de vardır. Tekrar oynatma saldırısı olarak bilinen riskin üstesinden gelmek için, bir CDN hizmeti HTTP isteklerinin türü ve izin verilen parametreler üzerinde kısıtlamalar uygulayabilir.
CDN'nin DDoS saldırılarına karşı koruması
Modern internette web sitelerinin en önemli güvenlik açıklarından biri, dağıtılmış hizmet reddi (DDoS) saldırılarının kullanılmasıdır. Zamanla DDoS saldırıları boyut ve karmaşıklık açısından artmış, saldırganlar web sitelerini saldırı trafiğiyle hedeflemek için botnet'ler kullanmıştır. Büyük ve doğru yapılandırılmış bir CDN, DDoS'a karşı koruyucu bir faktör olarak ölçek avantajına sahiptir; yeterli veri merkezi konumuna ve büyük bant genişliği kapasitesine sahip olarak, bir CDN, hedef alınan kaynak sunucuyu kolayca alt edebilecek miktarda gelen saldırı trafiğine dayanabilir ve bunları azaltabilir.
İnternete açık tüm ağlar gibi, CDN'ler de yol üzerindeki saldırılara, veri ihlallerine ve DDoS saldırıları kullanılarak hedef alınan kaynak sunucunun ağını aşırı yükleme girişimlerine karşı korunmalıdır. Bir CDN, uygun SSL/TLS şifrelemesi ve özel şifreleme donanımı da dahil olmak üzere güvenlik açıklarını azaltmak için birden fazla stratejiye sahip olabilir.
SSL/TLS şifrelemesi nedir?
Taşıma Katmanı Güvenliği (TLS), İnternet üzerinden gönderilen verileri şifrelemek için kullanılan bir protokoldür. TLS, ilk yaygın olarak benimsenen web şifreleme protokolü olan Güvenli Soket Katmanı'ndan (SSL) türemiştir ve önceki protokolün güvenlik açıklarının çoğunu gidermek için geliştirilmiştir. Sektör, tarihsel nedenlerle bu terimleri hala birbirinin yerine kullanmaktadır. http:// yerine https:// ile başlayan herhangi bir web sitesini ziyaret ettiğinizde, tarayıcı ile sunucu arasındaki iletişim için TLS/SSL kullanılıyor demektir.
Saldırganların önemli verilere erişmesini önlemek için uygun şifreleme uygulamaları bir zorunluluktur. İnternet, verilerin birçok konum arasında aktarılmasını sağlayacak şekilde tasarlandığı için, önemli bilgilerin paketlerinin dünya çapında hareket ederken ele geçirilmesi mümkündür. Kriptografik bir protokol kullanılarak, yalnızca amaçlanan alıcı bilgiyi çözebilir ve okuyabilir; aracıların aktarılan verilerin içeriğini çözmesi engellenir.
TLS protokolü 3 bileşen sağlamak üzere tasarlanmıştır:
Kimlik Doğrulama - Sağlanan kimliklerin geçerliliğini doğrulama yeteneği
Şifreleme - Bir sunucudan diğerine gönderilen bilgileri gizleme yeteneği
Bütünlük - Sahteciliği ve kurcalamayı tespit etme yeteneği
SSL sertifikası nedir?
TLS'yi etkinleştirmek için bir sitenin bir SSL sertifikasına ve ilgili bir anahtara ihtiyacı vardır. Sertifikalar, bir sitenin sahibi hakkında bilgi ve asimetrik anahtar çiftinin genel yarısını içeren dosyalardır. Bir sertifika yetkilisi (CA), sertifikadaki bilgilerin doğru olduğunu doğrulamak için sertifikayı dijital olarak imzalar. Sertifikaya güvenerek, sertifika yetkilisinin gerekli özeni gösterdiğine güvenmiş oluyorsunuz.
İşletim sistemleri ve tarayıcılar genellikle örtük olarak güvendikleri sertifika yetkililerinin bir listesine sahiptir. Bir web sitesi güvenilmeyen bir sertifika yetkilisi tarafından imzalanmış bir sertifika sunarsa, tarayıcı ziyaretçiyi bir sorun olabileceği konusunda uyarır.
Sertifikalar ve bunların uygulanma biçimleri, güç, protokol desteği ve diğer özelliklere göre bağımsız olarak da derecelendirilebilir. Derecelendirmeler, daha yeni ve daha iyi uygulamalar kullanıma sunulduğunda veya diğer faktörler bir sertifika uygulamasının genel güvenliğinin azalmasına neden olduğunda zaman içinde değişebilir. Bir kaynak sunucunun daha eski ve düşük dereceli bir SSL güvenlik uygulaması varsa, genellikle daha düşük derecelendirilir ve tehlikeye karşı savunmasız olabilir.
Bir CDN, ağında barındırılan mülklerin ziyaretçilerine CDN tarafından sağlanan bir sertifika kullanarak güvenlik sağlama avantajına sahiptir. Ziyaretçiler yalnızca CDN'ye bağlandığı için, kaynak sunucu ile CDN arasında kullanılan daha eski veya daha az güvenli bir sertifika, istemcinin deneyimini etkilemez.
Gerçekçi olmak gerekirse, bu daha zayıf sunucu-uç nokta güvenliği hala bir güvenlik açığı oluşturmaktadır ve özellikle ücretsiz kaynak şifrelemesi kullanılarak kaynak sunucunun güvenliğinin kolayca yükseltilebileceği göz önüne alındığında, bundan kaçınılmalıdır.
Organik arama için de uygun güvenlik önemlidir; şifrelenmiş web siteleri Google aramasında daha güçlü sıralama sağlar.
SSL/TLS bağlantısı, geleneksel TCP/IP bağlantısından farklı çalışır. TCP bağlantısının ilk aşamaları tamamlandıktan sonra, güvenli bağlantıyı kurmak için ayrı bir alışveriş gerçekleşir. Bu makalede, güvenli bağlantıyı talep eden cihaza istemci, güvenli bağlantıyı sunan cihaza ise sunucu denilecektir; tıpkı SSL/TLS ile şifrelenmiş bir web sayfasını yükleyen bir kullanıcı örneğinde olduğu gibi.
Öncelikle TCP/IP el sıkışması 3 adımda yapılır:
İstemci, bağlantıyı başlatmak için sunucuya bir SYN paketi gönderir.
Sunucu daha sonra iletişimi onaylamak için bu ilk pakete bir SYN/ACK paketi ile yanıt verir.
Son olarak, istemci sunucudan gelen paketin alındığını onaylamak için bir ACK paketi gönderir. Bu paket gönderme ve alma dizisi tamamlandıktan sonra, TCP bağlantısı açılır ve veri gönderip alabilir hale gelir.
TCP/IP el sıkışması gerçekleştikten sonra, TLS şifreleme el sıkışması başlar. TLS el sıkışmasının uygulanmasının ardındaki ayrıntılı süreçler bu kılavuzun kapsamı dışındadır. Bunun yerine, el sıkışmasının temel amacına ve sürecin tamamlanması için gereken süreye odaklanacağız.
Genel olarak, bir TLS el sıkışmasının üç ana bileşeni vardır:
İstemci ve sunucu, iletişimde kullanılacak TLS sürümlerini ve şifreleme algoritmasının türünü müzakere eder.
İstemci ve sunucu, karşılıklı olarak doğrulanmış iletişimi sağlamak için adımlar atar.
Gelecekteki şifreli iletişimlerde kullanılacak bir anahtar değiş tokuş edilir.
Aşağıdaki diyagramda, bir TCP/IP el sıkışması ve bir TLS el sıkışmasında yer alan her adım görselleştirilmiştir. Her okun, istemci ve sunucu arasında fiziksel olarak hareket etmesi gereken ayrı bir iletişimi temsil ettiğini unutmayın. TLS şifrelemesi kullanıldığında, karşılıklı olarak gönderilen mesajların toplam sayısı arttığı için, web sayfası yükleme süreleri de artar.
Örnek vermek gerekirse, TCP el sıkışmasının yaklaşık 50 ms, TLS el sıkışmasının ise yaklaşık 110 ms sürdüğünü söyleyebiliriz. Bu büyük ölçüde, istemci ve sunucu arasında verilerin her iki yönde de gönderilmesi için geçen süreden kaynaklanmaktadır. Bilgilerin bir cihazdan diğerine ve tekrar geri dönmesi için geçen süre olan gidiş-dönüş süresi (RTT) kavramı, bir bağlantının oluşturulmasının ne kadar "maliyetli" olduğunu ölçmek için kullanılabilir. Optimize edilmeden ve bir CDN kullanılmadan bırakılırsa, ek RTT, son kullanıcılar için gecikme ve yükleme sürelerinde artış anlamına gelir. Neyse ki, toplam yükleme süresini iyileştirmek ve gidiş-dönüş sayısını azaltmak için yapılabilecek optimizasyonlar vardır.
SSL gecikmesi nasıl iyileştirilebilir?
SSL optimizasyonları, RTT'yi azaltabilir ve sayfa yükleme süresini iyileştirebilir. İşte bir TLS bağlantısının optimize edilebileceği 3 yol:
TLS Oturumunun Yeniden Başlatılması - Bir CDN, ek istekler için aynı oturumu yeniden başlatarak kaynak sunucu ile CDN ağı arasındaki bağlantıyı daha uzun süre canlı tutabilir. Bağlantının canlı tutulması, istemci önbelleğe alınmamış bir kaynak sunucuya ihtiyaç duyduğunda CDN ile kaynak sunucu arasındaki bağlantının yeniden müzakere edilmesi için harcanan zamandan tasarruf sağlar. Kaynak sunucu, CDN ile bağlantı sürdürülürken ek istekler almaya devam ettiği sürece, siteye gelen ek ziyaretçiler daha düşük gecikme süresi yaşayacaktır.
Oturum yeniden başlatmanın toplam maliyeti, tam bir TLS el sıkışmasının %50'sinden daha azdır; bunun temel nedeni, oturum yeniden başlatmanın yalnızca bir gidiş-dönüş maliyetine sahip olması, tam bir TLS el sıkışmasının ise iki gidiş-dönüş gerektirmesidir. Ek olarak, oturum yeniden başlatma büyük sonlu alan aritmetiği gerektirmez (yeni oturumlar gerektirir), bu nedenle istemci için CPU maliyeti, tam bir TLS el sıkışmasına kıyasla neredeyse ihmal edilebilir düzeydedir. Mobil kullanıcılar için, oturum yeniden başlatmanın sağladığı performans iyileştirmesi, çok daha hızlı tepki veren ve pil ömrü dostu bir internet deneyimi anlamına gelir.
TLS Yanlış Başlangıcını Etkinleştir - bir ziyaretçi siteyi ilk kez görüntülediğinde, yukarıda bahsedilen oturumun yeniden başlatılması faydalı olmayacaktır. TLS Yanlış Başlangıcı, göndericinin tam bir TLS el sıkışması olmadan uygulama verilerini göndermesine olanak tanır.
Yanlış Başlangıç (False Start), TLS protokolünün kendisini değiştirmez, yalnızca verilerin aktarılma zamanlamasını değiştirir. İstemci anahtar değişimine başladığında, şifreleme sağlanır ve veri aktarımı başlar. Bu değişiklik, toplam gidiş-dönüş sayısını azaltarak, gereken gecikmeyi 60 ms düşürür.
Sıfır Gidiş-Dönüş Süresi Yeniden Başlatma (0-RTT) - 0-RTT, bağlantıya ek RTT gecikmesi eklemeden oturumun yeniden başlatılmasına olanak tanır. TLS 1.3 ve 0-RTT kullanan yeniden başlatılan bağlantılar için bağlantı hızı iyileştirilir ve bu da kullanıcıların düzenli olarak ziyaret ettiği web siteleri için daha hızlı ve sorunsuz bir web deneyimi sağlar. Bu hız artışı özellikle mobil ağlarda fark edilir.
0-RTT etkili bir iyileştirmedir, ancak bazı güvenlik ödünleşmeleri de vardır. Tekrar oynatma saldırısı olarak bilinen riskin üstesinden gelmek için, bir CDN hizmeti HTTP isteklerinin türü ve izin verilen parametreler üzerinde kısıtlamalar uygulayabilir.
CDN'nin DDoS saldırılarına karşı koruması
Modern internette web sitelerinin en önemli güvenlik açıklarından biri, dağıtılmış hizmet reddi (DDoS) saldırılarının kullanılmasıdır. Zamanla DDoS saldırıları boyut ve karmaşıklık açısından artmış, saldırganlar web sitelerini saldırı trafiğiyle hedeflemek için botnet'ler kullanmıştır. Büyük ve doğru yapılandırılmış bir CDN, DDoS'a karşı koruyucu bir faktör olarak ölçek avantajına sahiptir; yeterli veri merkezi konumuna ve büyük bant genişliği kapasitesine sahip olarak, bir CDN, hedef alınan kaynak sunucuyu kolayca alt edebilecek miktarda gelen saldırı trafiğine dayanabilir ve bunları azaltabilir.
