LAN (Local Area Network - Yerel Alan Ağı) ev, okul, kurum binası gibi daha sınırlı alanlarda bulunan bilgisayar, telefon ve yazıcı gibi ağ aygıtlarını birbirine bağlar. WAN  (Wide Area Network - Geniş Alan Ağı) ise çok farklı coğrafik bölge lerdeki donanımları birbirine bağlar. LAN'lar daha küçük alanlarda hizmet verdikleri için WAN'lara göre daha hızlıdır. LAN oluşturmak için gerekli maliyet WAN'a göre daha azdır.

Web güvenliği tehditleri dört farklı grupta incelenebilir:

• Gizliliğe karşı tehditler: Ağın gizli bir şekilde dinlenmesi, sunucu veya istemci verisinin çalınması.
• Bütünlüğe yönelik tehditler: kullanıcı verisinin, iletim halindeki mesajın
  ve belleğin kötü amaç için değiştirilmesi.
• Hizmet engellemeye yönelik tehditler: kullanıcı iş parçacıklarının sonlandırılması,
  disk veya belleğin kapasitelerinin üzerinde kullanılmaya çalışılması ve
  gerçek olmayan istekler ile sistemi meşgul etme
• Kimlik doğrulama işlemine yönelik tehditler: meşru kullanıcıların kimliğine
  bürünme ve veri sahteciliği

Güvenlik tehditlerini pasif ve aktif saldırılar olmak üzere iki gruba ayırmak mümkündür. Web tarayıcısı ve sunucusu arasındaki veri iletimini gizli dinlemek bir pasif saldırı örneğidir. Başka bir kullanıcının kimliğine bürünme ile sunucu ve istemci arasındaki mesajları değiştirme ise aktif saldırılara örnek olarak verilebilir.

TCP'nin uçtan uca güvenli bir hizmet sunmasını sağlamak amacıyla tasarlanmış olan SSL üst katmanında 3 protokol bulunur:

• El sıkışma protokolü
• Şifre değiştirme protokolü
• Uyarı protokolü

SSL bağlantısı sunucu ve istemci arasında gerekli servisi sağlayan bir iletim aracıdır. SSL ile oluşturulan bağlantılar belirli bir süre sonra sonlandırılır ve her bir bağlantı tek bir oturum ile ilişkilidir.

İstemci ve sunucu arasında güvenli bir iletim kanalı kurmak için gerekli parametrelere karar verilir. Oturumlar el sıkışma protokolü tarafından oluşturulur ve birden fazla bağlantı arasında paylaşılabilir bir dizi kriptografik güvenlik parametreleri tanımlarlar. Oturumlar her bağlantı için yeni güvenlik parametreleri müzakerelerini önlemek için kullanılır.

• Oturum Tanımlayıcısı: Sunucu tarafından seçilen aktif veya devam ettirilebilir oturum durumlarını tanımlayan rastgele oluşturulmuş bir bayt dizisidir.
• Veri Sıkıştırma Metodu: Şifrelemeden önce veri sıkıştırmak için kullanılan algoritmadır.
• Şifreleme yönteminin belirlenmesi: Mesaj Doğrulama Kodu (Message Authentication Code-MAC) hesaplamada kullanılan toplu veri şifreleme algoritmasını ve karma algoritmayı tanımlar.
• Ana Sır: İstemci ile sunucu arasında paylaşılan 48 baytlık sırdır.
• Yenilenebilir: Bir oturumun yeni bağlantılar başlatmak için kullanılıp kullanılamayacağını belirlemek için kullanılır.

• Rastgele sayı: Her bağlantı için sunucu ve istemci tarafından rastgele oluşturulmuş bayt dizileridir.
• Sunucuya ait MAC gizli anahtarı: Sunucu tarafından istemciye iletilecek veri için MAC operasyonlarında kullanılan gizli anahtardır.
• İstemciye ait MAC gizli anahtarı: İstemci tarafından sunucuya iletilecek veri için MAC operasyonlarında kullanılan gizli anahtardır.
• Gizli Anahtar: Sunucu ve istemci arasında iletilecek verinin gizlenmesi için kullanılacak simetrik şifreleme algoritması anahtarıdır.
• Başlatma Vektörleri (Initialization Vectors - IV): Bu alan ilk olarak SSL el sıkışma protokolü tarafından başlatılır.
• Sıra Numaraları: Her iki taraf, her bağlantıda alınan ve iletilen mesajlar için farklı sıra numaraları tutar.

Kayıt protokolü iletilecek veriyi belirli uzunlukta bloklar halinde parçalar ve sıkıştırma fonksiyonuna gönderir. Daha sonra elde edilen çıktıya MAC uygulanır. Son olarak elde edilen veri şifrelenir ve başlık eklenerek TCP bölümü olarak iletilir. İletişim kanalının diğer tarafında alıcı gelen şifrelenmiş veriyi çözer. Mesaj bütünlüğü kontrol edilir. Eğer hata yoksa, bölünmüş parçalar birleştirilerek üst seviye katmanlara gönderilir.

Şifre değiştirme protokolü SSL kayıt protokolünü kullanan üç protokolden en basit olanıdır. Bu protokol değeri 1 olan ve bir bayttan oluşan bir mesaj içerir. Bu mesajın tek amacı bekleyen durumun güncel durumun içine kopyalanmasını sağlamaktır. Bunun sonucunda bağlantıda kullanılacak şifre paketi güncellenir.

Bu protokoldeki her mesaj 2 bayttan oluşur. İlk bayt mesajın şiddetini iletmek için iki farklı değerden birini alabilir. Bu değerler uyarı ve ölümcül değerleridir. Eğer değer ölümcül ise SSL acilen bağlantıyı sonlandırır. Aynı oturumdaki diğer bağlantılar devam edebilir, fakat aynı oturumda yeni bir bağlantı oluşturulmaz. İkinci bayt belirli uyarıları belirten bir kod içerir.

El sıkışma protokolünde istemci ve sunucu arasındaki değişim dört evreden oluşur:

• Güvenlik kabiliyetlerinin kurulması
• Sunucu kimlik doğrulaması ve anahtar değişimi
• İstemci kimlik doğrulaması ve anahtar değişimi
• Bitiş evresi

TLS, (Transport Layer Security-İletim Katmanı Güvenliği) SSL'nin İnternet standart sürümünü oluşturma amacıyla gerçekleştirilen bir standardizasyon girişimidir. TLS, önerilen İnternet standardı olarak RFC 5246’da tanımlanmıştır. Öncelikli hedefi iletişimde bulunan iki uygulama arasında gizliliği ve veri bütünlüğünü sağlamaktır. TLS temel olarak iki protokolden oluşmaktadır. Bu protokoller TLS kayıt protokolü ve TLS el sıkışma protokolü olarak adlandırılmıştır.

• Kriptografik güvenlik: TLS iki taraf arasında güvenli bir bağlantı kurmak için kullanılır.
• Birlikte çalışabilirlik: Bağımsız programcılar birbirlerinin kod bilgilerini bilmeden kriptografik parametreleri değiştirmeyi sağlayan TLS kullanan uygulamalar geliştirmelidir.
• Geliştirilebilirlik: TLS gerektiğinde yeni açık anahtarlar ve şifreleme yöntemlerinin dahil edilebildiği bir çerçeve sağlamayı amaçlamaktadır. Bu aynı zamanda iki alt amacın gerçekleşmesini de sağlayacaktır. Bu amaçlardan birincisi, yeni protokol oluşturma ihtiyacının önlenmesidir. İkinci alt amaç ise tümüyle yeni bir güvenlik kütüphanesi oluşturma ihtiyacından kaçınılmasıdır.
• Bağıl verim: Özellikle açık anahtar işlemleri olmak üzere kriptografik işlemler yoğun şekilde CPU kullanırlar. Bu nedenle TLS protokolü sıfırdan kurulacak bağlantı sayısını azaltmak için isteğe bağlı oturumları önbelleğe alan bir düzen geliştirmiştir. Ek olarak ağ aktivitesinin azaltılması için çalışılmıştır.

HTTP protokolü kullanılarak yapılan veri iletimi güvenli değildir. Ortaya çıkan bu güvenlik zafiyetini önlemek için, HTTP ve SSL protokollerinin beraber kullanılması ile HTTPS protokolü oluşturulmuştur.

• İstenen dokümanın URL adresi
• Doküman içeriği
• Tarayıcı formların içeriği
• Tarayıcıdan sunucuya, sunucudan tarayıcıya gönderilen çerezler
• HTTP başlığının içeriği

SSH (Secure Shell-Güvenli Kabuk), şifreleme kullanarak güvenli olmayan bir ağ üzerinde uzaktan bağlanma ve diğer ağ hizmetlerini güvenli şekilde gerçekleştirmeyi sağlayan bir protokoldür.

Fiziksel katman: Sinyallerin kodlanması ve kodlarının çözülmesi işlevi ve bitlerin iletimi ve alımı işlevlerini gerçekleştiren katmandır. İletim ortamının özelliklerini belirler.

Ortam erişim denetimi katmanı: Ağın iletim kapasitesini düzenli ve verimli kullanmak adına gerekli olan, iletim ortamına kontrollü erişim görevini bu katman üstlenir.

Mantıksal bağlantı denetimi katmanı: Veri bağı denetim protokollerinde veri bağı öğesinin görevi çoğu zaman CRC kullanarak hataları tespit etmek ve hasarlı çerçeveleri tekrar göndermektir. Hataları bulma işlemini ortam erişim denetimi katmanı gerçekleştirirken, hatalı çerçeveleri gönderme işlemi mantıksal bağlantı denetimi katmanının görevidir.

MAC Kontrol: MAC protokolünün işleyişi için gerekli protokol kontrol bilgilerini içerir.

Hedef MAC Adres: MAC protokol veri birimi için yerel alan ağı içindeki ulaşılacak fiziksel adresi gösterir.

Kaynak MAC Adres: MAC protokol veri birimi için yerel alan ağı içindeki kaynak fiziksel adresi gösterir.

MAC Hizmet Veri Birimi: Bir üst katmandan gelen veriyi içerir. MAC hizmet veri biriminden önce verilen alanlar MAC başlığı, daha sonra gelen alanlar MAC sonlandırma bilgisi olarak adlandırılır.

Döngüsel Artıklık Denetimi (Cyclic Redundancy Check - CRC): Döngüsel artıklık denetimi dijital veride iletim sırasında bir hatanın oluşup oluşmadığını tespit etmek için kullanılır.

IEEE 802.11i Dayanıklı Güvenlik Ağı'nın operasyonu temelde beş farklı evrede değerlendirilebilir.

• Keşif: Doğrulama sunucusu kendi IEEE 802.11i güvenlik politikasını yayınlar. Bir istasyon bu bilgiyi kullanarak iletişim kurmak istediği kablosuz yerel alan ağı için bir erişim noktası belirler. İstasyon, sunulan seçeneklerden bir şifreleme paketi ve doğrulama mekanizması kullanan bir erişim noktası ile iletişim kurar.
• Doğrulama: Bu aşamada istasyon ve doğrulama sunucusu birbirlerine kimliklerini kanıtlar. Erişim noktası doğrulama işlemi başarılı oluncaya kadar doğrulama sunucusu ve istasyon arasındaki doğrulanmamış mesaj trafiğini engeller. Erişim noktası istasyon ile doğrulama sunucusu arasındaki trafiği iletmek dışında doğrulama işleminin gerçekleşmesine karışmaz.
• Anahtar yönetimi: Erişim noktası ve istasyon şifreleme anahtarlarının üretilmesi ve yerleştirilmesini sağlamak için çeşitli işlemler gerçekleştirir. Bu işlemler sadece erişim noktası ve istasyon arasında yapılır.
• Korumalı veri transferi: Çerçeveler erişim noktası aracılığıyla son istasyonlar arasında gönderilir. Güvenli veri transferi sadece istasyon ve erişim noktası arasında gerçekleştirilir. Uçtan uca güvenlik hizmeti verilmez.
• Bağlantı sonlandırma: Bu aşamada güvenli bağlantı sonlandırılır ve bağlantı özgün durumuna geri döner.