Connect with us

Kimlik denetimi ve yetkilendirme mimarisi

Genel Bilgi ve Haberler

blank

Yayınlama

-

Bilişim teknolojilerindeki tüm varlıkların, objelerin (asset) kullanımının en temel amacı bilginin işlenmesi, saklanması ve görünürlüğünün bilgi güvenliği prensiplerine göre kullanılabilirliğinin sağlanmasıdır. Bunun temel amacı güvenlik prensipleri; gizlilik, bütünlük ve erişilebilirliktir.

Bu temel amaçlar; kaynaklara, hizmetlere ve servislere yetkisiz erişimi ve yetkisiz değişiklikleri engellemektir. Varlıklara veya verilere erişim kontrolü yapmayan bir sistemin güvenliği zafiyete ve sonunda da istismara açıktır.

Kurumsal olarak kendi ağında trafik oluşturulan herhangi bir objeyi tanımlayamamak, izleyememek, bilmemek oluşabilecek bilgi güvenliği ihlallerindeki veri sızıntısının boyutlarının hangi boyutta olduğunu yani hasar tespiti yapılamamasına neden olmaktadır.

Bilişim teknolojileri ekosisteminde kurumsal, finansal, sosyal vb. faaliyetlerin yaygın olarak kullanılmaya başlanmasıyla birlikte, uygulamalar için kimlik doğrulaması, yetkilendirme, izleme, erişilebilirlik gibi temel güvenlik fonksiyonları uygulamalara eklemlenmiştir.  Ancak, çok sayıda varlığı ve uygulamayı barındıran karmaşık sistemlerde bu güvenlik mekanizmalarını yönetmek bir takım zorlukları da beraberinde getirmektedir. Kapsamlı ve karmaşık bir sistemde bulunan bu varlık ve uygulamalara kullanıcıların etkin olarak erişimini kontrol etmek için kimlik yönetim sistemlerine ihtiyaç duyulmaktadır.

802.1x port tabanlı ağ erişim denetimi

Uçtan-uca bağlantı özelliklerine sahip bir yerel ağ portuna takılan cihazların kimlik doğrulaması ve yetkilendirmesi için kullanılmaktadır. Kimlik doğrulamasının ve yetkilendirmesinin başarısız olması durumunda o portu, bilişim kaynaklarına erişimden koruyarak ilgili portun ve erişim talebinin kapatılmasını sağlamaktadır. Kimlik doğrulama ve yetkilendirme başarısızsa, o port erişime kapatılır ve bu sayede yerel ağ altyapısı korunmuş olur. Kullanıcı kimlik doğrulama( Authentication), yetkilendirme (Authorization), kayıt tutma (Accounting)  mekanizmalarının tamamını yaparak güvenlik sıkılaştırma politikalarına göre tasarlanmaktadır. Kurumsal ağa kimin hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirmesi; kullanıcı odaklı, ağ tabanlı erişim kontrolü olan kimlik doğrulama sunucusu tarafından belirlenir.

802.1X, geleneksel ağ yapıları kablolu ağlar için geliştirilmiş bir standart iken, bilişim teknolojilerin gelişmesiyle birlikte kablosuz ağlar için de kullanılması söz konusu olmuştur. Bu yaklaşım, istemci ile erişim noktası arasında kimlik denetleme sunucusu kullanarak kimlik denetleme ve port tabanlı erişim kontrolü sağlamaktadır. 802.1X; Genişletilebilir Kimlik Doğrulama Protokolü (EAP, Extensible Authentication Protocol) tabanlıdır. EAP, birçok kimlik denetimi yönteminden, kendi ağları için uygun olanını seçmesini sağlayan bir güvenlik mimarisidir. Bu mimarinin genel olarak çalışma şekli şu şekildedir:

  • Kullanıcı kimlik denetleyicisine (Authenticator) erişim bağlantı talebinde bulunur. Kimlik denetleyicisi, bağlantı isteğini aldıktan sonra, tüm portları kapalı tutar. Ancak kullanıcı ile arasındaki iletişimin devam etmesi için sınırlı bir port açar. Kimlik denetleyicisi kullanıcıdan kullanıcı kimliğini ister. Kullanıcı, kimliğini gönderir. Kimlik denetleyicisi kimlik bilgisini bir kimlik denetleme sunucusuna (Authentication Server) gönderir. Kimlik denetleme sunucusu kullanıcının kimliğini denetler ve doğruladığında onay mesajını kimlik denetleyicisine gönderir.
  • Kimlik denetleyicisi, kullanıcının portunu yetkilendirilmiş duruma getirir. Kullanıcı kimlik denetleme sunucusundan kimliğini ister, kimlik denetleme sunucusu kimlik bilgisini kullanıcıya gönderir.
  • Kullanıcı kimlik denetleme sunucusunun kimliğini doğruladığında veri trafiği başlamış olur.

blank

802.1X objeleri

İstemci (Supplicant)

IEEE 802.1x standardı, istemciyi “noktadan-noktaya yerel ağın bir ucunda bulunan ve diğer ucundaki kimlik denetleyici tarafından kimliği doğrulanacak olan varlık” olarak tanımlar. Bu bir masaüstü bilgisayar, kablosuz dizüstü bilgisayar, mobil cihazlar veya IP adresi alan herhangi bir cihaz olabilir. İstemci 802.1x Kimlik Doğrulama işleminin öznesi ve ağa bağlanmak isteyen bir aygıttır. İstemci normalde doğrudan kimlik doğrulayıcı sunucusuna değil erişim noktasına bağlıdır.

Kimlik denetleyici ( Authenticator)

Kimlik denetleyici genellikle bir anahtarlama cihazı veya kablosuz erişim noktası olabilir. Kimlik denetleyici istemciye hizmet sunan ve istemcinin kimliğini doğrulamasını 802.1x standardına göre yapan bir cihazdır. Kimlik denetleyici, kimlik doğrulama sunucusu ile istemci arasındaki kimlik doğrulama bilgi trafiğinin taşınmasını sağlar. Bütün yetkilendirme ve kimlik doğrulama işlemleri ve süreçleri, istemci ile kimlik doğrulama sunucusu arasında gerçekleşmektedir. Kimlik denetleyicilerinin önemi sistem üzerinde birden fazla kimlik doğrulama sunucusu var ise buradaki yönlendirmeyi (load balance) yapmaktır. Kimlik denetleyici bir sunucuyla konuşacak bu birincil sunucunun servislerinin durması vb. durumlarda diğer sunucuyla konuşmaya geçecektir. Bu tarz bir mimaride çalıştırılması sistemin yedeğini ve erişilebilirliğini sağlayacaktır.

Kimlik doğrulama sunucusu ( Authentication Server)

Kimlik doğrulama sunucusu, kimlik doğrulama (Authentication), yetkilendirme (Authorization) ve kayıt tutma (Accounting) (AAA) işlemlerini yapan cihazdır. Kimlik doğrulama sunucusu, istemcinin erişim talebine (kimliğine) bakarak kimlik denetleyici tarafından sağlanan servislere erişip erişmeyeceğine göre onaylama mekanizması olarak çalışır. İstemciden kimlik bilgilerini istemek ve bu bilgileri veri tabanındaki verilerle karşılaştırarak kimliği doğrulamak ya da gelen talepler geçersiz ise bu istekleri sonlandırmak kimlik doğrulama sunucusunun görevidir.

802.1x Trafik Analizi

blank

Oturumun Başlatılması (Initiation)

802.1 x doğrulaması switch ya da istemci tarafından başlatılabilir. Switch üzerinde herhangi bir port çalışır olduğundan itibaren switch doğrulama oturumunu başlatır. Switch doğrulamayı EAP-Request-Identity mesajını istemciye göndererek başlatır. Eğer switch bir cevap almaz ise istek mesajını belli aralıklarla yeniden aktarır.

İstemci kimlik doğrulamasını bir EAPoL-Start frame yollayarak  başlatabilir.  EAPoL-Start mesajı switchten periyodik olarak gelen bir sonraki EAP-Request-Identity  mesajını beklemeden istemcinin kimlik doğrulama işlemini hızlandırmasına olanak verir. EAPoL – Start mesajı, istemcinin  switchten gelen bir EAP-Request’i işlemek için hazır olmadığı (örneğin işletim sisteminin  hala boot ediyor olmasından dolayı) ya da  switch üzerinde hiçbir fiziksel bağlantı durumu değişiminin olmadığı (örneğin istemcinin bir IP telefonu ya da hub aracılığıyla dolaylı olarak bağlanmasından dolayı) durumlarda gereklidir.

Doğrulama (Authentication)

Bu evre boyunca switch, istemci ile kimlik doğrulama sunucusu arasında EAP mesajların aktarımını ,EAPoL frame’indeki bir EAP mesajını herhangi bir RADIUS paketinin içindeki AV-pair ‘a kopyalayarak ya da bu kopyalama işlemini ters yönde yaparak gerçekleştirir. Değiş tokuş işleminin ilk kısmında istemci ve kimlik doğrulama sunucusu bir EAP metodu üzerinde anlaşırlar.

Bu takas işleminin kalan kısmı ise belirli bir EAP metodu ile tanımlanır. Bu metot istemcinin kimliğinin doğrulanması için kullanılacak kimlik türünü  ve bu kimliğin nasıl sunulacağını tanımlar. Metodun türüne bağlı olarak bağlı olarak, istemci bir şifre , sertifika, simge ya da başka bir kimlik sunabilir. Böylece sunulan kimlik hash algoritması ile ya da korunması sağlanmış başka bir form olarak bir TLS-encrypted tünelin içine geçirilebilir.

Yetkilendirme (Authorization)

Eğer istemci geçerli bir kimlik sunarsa, kimlik doğrulama sunucusu kapsüllenmiş bir EAP-success mesajı ile birlikte bir RADIUS Access-Accept mesajı ile geri dönüşte bulunur. Bu mesaj switche, istemcinin porta erişim sağlamasına izin verilmesi gerektiğine işaret eder. İsteğe bağlı olarak, kimlik doğrulama sunucusu Access-Accept mesajına dinamik network erişim ilkeleri talimatlarını dahil edebilir. Dinamik ilke talimatlarının yokluğu durumunda switch basit bir şekilde portu açar.

Eğer istemci geçersiz bir kimlik sunarsa  ya da  ilke sebeplerinden dolayı networke bağlanmasına izin verilmezse , kimlik doğrulama sunucusu kapsüllenmiş bir EAP-Failure mesajı ile birlikte bir RADIUS Access-Reject mesajı ile geri dönüşte bulunur. Bu mesaj switche, istemcinin porta erişim sağlamasına izin verilmemesi gerektiğine işaret eder. Nasıl konfigüre edildiğine bağlı olarak switch, kimlik doğrulama işlemini tekrar yapmaya çalışabilir, portu Auth-Fail VLAN’ın içine konuşlandırabilir ya da alternatif bir kimlik doğrulama metodu deneyebilir.

Oturum Hesabı Açılması (Accounting)

Eğer switch başarılı bir şekilde kimlik doğrulama ilkesini uygulayabiliyorsa o switch kimlik doğrulama sunucusuna yetkilendirilmiş oturumunun detayları ile birlikte bir  RADIUS Accounting-Request mesajı yollayabilir. Accounting-Request  mesajları lokal olarak yetkilendirilmiş oturumlar için gönderildiği gibi dinamik olarak yetkilendirilmiş oturumlar için de gönderilir. Örnek olarak Guest VLAN ve Auth-Fail VLAN verilebilir.

Oturum Sonlandırma (Termination)

Oturum sonlandırılması 802.1X kimlik doğrulama işleminin önemli bir kısmıdır. Doğrulaması yapılmış bir oturumun bütünlüğünün sağlanması için doğrulanmış bir bitiş noktasının networkten kopması gerçekleştiğinde bütün oturumlarının temizlenmesi gerekir. Hemen sonlandırılmamış oturumlar güvenlik ihlallerine ve güvenlik boşluklarına yol açabilir. İdeal olarak, oturumun kapatılması bitiş noktasının fiziksel olarak ayrımının gerçekleşmesi ile birlikte meydana gelir. Fakat, eğer ki bitiş noktası dolaylı olarak bağlandıysa ,örneğin bir IP telefonu ya da hub vasıtasıyla, oturumun bu şekilde hemen sonlandırılması mümkün olmayabilir.

802.1x Protokolleri

EAP (Extensible Authentication Protocol)

802.1x standardında, istemci kimliği doğrulanana kadar bir LAN geçiş bağlantı noktası veya kablosuz AP aracılığıyla bir istemciye LAN erişimi açılmaz. Genişletilebilir Kimlik Doğrulama Protokolü (EAP), kimlik bilgilerini kullanan rastgele kimlik doğrulama yöntemlerine ve rastgele uzunluklarda bilgi alışverişine izin vererek Noktadan Noktaya Protokolü’nü (PPP) genişletir. EAP, akıllı kartlar ve şifre hesaplayıcılar gibi güvenlik aygıtlarını kullanan kimlik doğrulama yöntemleri sağlar.  EAP, PPP içindeki diğer kimlik doğrulama yöntemlerini destekleyen endüstri standardı bir mimari sağlar. Pek çok kimlik doğrulama protokolü EAP varyasyonları olup 802.1x çerçevesinde çalışır. EAP; OSİ katmanları içerisinde 2.katmanı kullanarak kimlik doğrulaması yapmak için tasarlanmıştır.

EAP Standartlı Kimlik Doğrulama Protokolleri

EAP-MD5 (Message Digest 5)

MD5, EAP kimlik denetleme yöntemlerinin en basitidir. Kablosuz ağlarda şifrenin açık gitmesinden dolayı önerilmez. Kablosuz ağlarda kullanıldığı zaman, en az güvenli olanıdır, bu sebeple daha çok kablolu ağlarda kullanılır. MD5; istemciden ağa tek yönlü bir kimlik denetleme yöntemidir.

EAP-FAST(Flexible Authentication via Secure Tunneling)

Cisco tarafından geliştirilen EAP-FAST; karşılıklı doğrulamayı sertifika kullanmak yerine, sunucu tarafından dinamik olarak yönetilen PAC (Protected Access Crediental) teknolojisini kullanarak gerçekleştirir. EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tüneli oluşturmak için PAC adında bir referansa ihtiyaç duyular. PAC bir PAC sunucusu vasıtasıyla veya EAP-FAST fazlarında dinamik olarak oluşturulabilir. Tünel bir kez kurulduğunda, kullanıcılar kullanıcı adı ve şifreleriyle kimlik denetiminden geçerler. Yönetimsel karışıklıkları azalttığı için esnek bir protokoldür. Kullanıcıların dijital sertifikalar kullanmasına ve güçlü şifre kurallarına gerek yoktur.

LEAP (Lightweight EAP)

LEAP; Cisco tarafından geliştirilen, özellikle Cisco Aironet kablosuz ağlarında kullanılan çift yönlü kimlik denetimini destekleyen bir EAP kimlik denetleme yöntemidir. RADIUS sunucusu yolu ile kimlik denetimi için kullanıcı adı ve şifresini ve erişim noktası (AP) kimliğini kullanır. Kimlik denetimi üzerine LEAP, oturum kullanımı için tek zamanlı WEP anahtarları üretir. Data transferini her şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve karşılıklı kimlik doğrulamayı sağlar. LEAP kullanarak, her kullanıcı kablosuz ağa farklı WEP anahtarı kullanarak bağlanır.

EAP- TLS (Transport Layer Security)

TLS, SSL den önce kullanılmaya başlayan bir kriptografi protokolüdür. Bu protokolün amacı haberleşen iki uygulama arasında veri güvenliği ve bütünlüğünün sağlanmasıdır. TLS, çift yönlü kimlik denetimi sağlamak için X.509 dijital sertifika kullanan, standart haline gelmiş bir IETF denetleme yöntemidir. TLS’nin üretimi, dağıtımı ve genel yönetimi için bir Açık Anahtar Altyapısı (PKI) gerektirir. PKI bilgisini iletmek için; TLS, SSL kullanır. Protokol iki katmandan oluşur. İlk katman TLS kayıt protokolü, diğeri ise TLS el sıkışma protokolüdür. TLS kayıt protokolü ile veriler simetrik şifreleme anahtarları ile şifrelenir. Her bağlantı için farklı bir simetrik şifreleme anahtarı kullanılır. Bu anahtar TLS el sıkışma protokolü kullanılarak alıcı ve verici tarafından paylaşılır. TLS el sıkışma protokolü ile haberleşecek tarafların birbirlerini yetkilendirmeleri, şifreleme algoritması ve anahtarların karşılıklı değişimi sağlanır.

EAP-TTLS (Tunneled Transport Layer Security)

TTLS; bir IEFT standartı olan, TLS’nin istemci sertifikası ihtiyacını ortadan kaldırmak için geliştirilen, iki kimlik denetleme (diğeri PEAP’dir) yönteminden biridir. TTLS, istemci ile kimlik denetleme sunucusu arasında kurulan SSL tünelini kullanarak güvenli bir biçimde kimlikleri iletebilir.

EAP-TLS’e alternatif olan TTLS kimlik denetim sisteminde kimlik doğrulama bilgisinin güvenli bir şekilde iletilebilmesi için istemci ile sunucu arasında TLS ile şifreli bir oturum oluşturulur. Sorgulama ve yanıt paketleri, herkese açık olmayan TLS şifreli bir kanal üzerinden gönderilir. Bunun için sucunu için tek bir anahtar çifti oluşturulur. İstemci rastgele oluşturduğu anahtarı kendi public anahtarı ile şifreleyip sunucuya yollar. Bundan sonraki haberleşme bu yeni ortak anahtar ile simetrik şifreleme ile devam eder.

PEAP (Protected EAP)

EAP protokol ailesine ait olan PEAP (Protected Extensible Authentication Protocol) istemci ve kimlik doğrulama sunucusu arasında taşınan paketleri TLS tüneli ile şifreleyerek gönderir. Microsoft, Cisco ve RSA Security’nin geliştirdiği, şu an IEFT standardı olan bir kimlik doğrulama metodudur.

Sonuç olarak, BT teknolojilerinin iş süreçleri üzerinde etkinliğinin artmasıyla birlikte BT süreçleri daha büyük önem kazanmış ve iş sürekliliğinin sağlanmasında anahtar bir rol model olmuştur. Kimlik yönetiminin ve denetiminin kurumsal iş süreçleri çerçevesinde bütüncül ve kaynakların güvenli yönetilmesi adına kapsayıcı bir şekilde ele alınması gerekmektedir. Temel bilgi güvenliği prensiplerinden olan veriye erişilebilirliği, erişimin kontrolünün yönetilebilir bir yapıya kavuşturulması kimlik yönetimi süreçlerinden geçmektedir. Kurumsal varlıklara erişimler bilgi güvenliği olgunlaştırma yöntemine göre yapılmalı ve kontrol edilmelidir.

Kaynaklar: 

Bilişim Uzmanı / Ömer Faruk Sünnetçioğlu

Senin reaksiyonun hangisi?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

Devamını oku

Blog

blank
Blog & Makaleler7 dakika

Bilgi Hırsızlığına Karşı Alınması Gereken Acil Güvenlik Önlemleri

Siber güvenlik şirketi ESET, 2024 yılının ilk yarısına ait yayımladığı Tehdit Raporu’nda, bilgi hırsızlığının arttığına dikkat çekti. Rapor, kötü amaçlı...

blank
Blog & Makaleler1 gün

Türkiye’nin İlk Kuantum Bilgisayarı Tanıtılıyor

Türkiye’nin İlk Kuantum Bilgisayarı Tanıtılıyor TOBB Ekonomi ve Teknoloji Üniversitesi (TOBB ETÜ), 2010 yılından bu yana sürdürdüğü kuantum teknolojileri çalışmalarıyla...

blank
Blog & Makaleler2 gün

Sorgulamak Nedir? Faydaları ve Zararları

Sorgulamak Nedir? Faydaları ve Zararları Bazen bir sohbetin tam ortasında, bazen de bir eleştiri anında şu soruyla karşılaşırız: “Sen hiç...

blank
Blog & Makaleler2 gün

Bayraktar TB3: Dünya Havacılık Tarihinde Bir İlke İmza Attı!

Bayraktar TB3: Dünya Havacılık Tarihinde Bir İlke İmza Attı! Türkiye’nin yerli ve milli teknolojideki öncü firması Baykar tarafından geliştirilen Bayraktar...

blank
Blog & Makaleler3 gün

E=mc²: Enerji ve Maddenin Dönüşümü

E=mc²: Enerji ve Maddenin Dönüşümü Albert Einstein’ın 1905 yılında ortaya koyduğu E=mc² denklemi, modern fiziğin mihenk taşlarından biridir. Enerji ve...

blank
Blog & Makaleler4 gün

Kuantum Mekaniği: Mikro Evrenin Sırları

Kuantum Mekaniği: Mikro Evrenin Sırları Kuantum mekaniği, modern fiziğin temel taşlarından biridir ve atom altı parçacıkların davranışlarını inceleyen bir bilim...

blank
Blog & Makaleler2 hafta

10 Kasım Saygı ve Özlemle

10 Kasım Saygı ve Özlemle 10 Kasım, Türkiye Cumhuriyeti’nin kurucusu ve çağdaş dünyanın saygı duyduğu liderlerden biri olan Mustafa Kemal...

Galeri

blank
Blog & Makaleler9 ay

Teknoloji ve Bilimin Dönüm Noktaları: 6 Mart’ın Anlamı

Teknoloji ve Bilimin Dönüm Noktaları: 6 Mart’ın Anlamı Teknoloji ve bilim, insanlığın ilerlemesinde ve gelişiminde kritik bir rol oynamaktadır. Her...

blank
Teknoloji Galerileri10 ay

Bakan Uraloğlu: 3. Çeyrek Raporu Sonuçlarını Açıkladı

Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, 2023 yılı 3’üncü çeyreği rakamlarını açıkladı. Bakan Uraloğlu, Bilgi Teknolojileri ve İletişim Kurumu tarafından...

blank
Blog & Makaleler11 ay

Evrenin İlk Elementi: Big Bang’den Başlangıç Noktasına Yolculuk

Evrenin İlk Elementi: Big Bang’den Başlangıç Noktasına Yolculuk Evren, 13,8 milyar yıl önce, son derece yoğun ve sıcak bir durumdan...

blank
Bilişim Haberleri12 ay

SİNEMADA YAPAY ZEKA

Sinemada yapay zeka, birçok farklı şekilde kullanılabilir ve hikaye anlatımına, karakter gelişimine, görsel efektlere ve genel film yapımına önemli katkılarda...

blank
Blog & Makaleler12 ay

Möbius Şeridi: Geometrinin Harikası

Möbius Şeridi: Geometrinin Harikası Matematik ve geometri, doğanın düzenini anlama ve modelleme konusunda insanlığın en güçlü araçlarından biridir. Bu disiplinler,...

blank
Teknoloji Galerileri1 sene

Saatte 100 Km Hız Yapan Airscooter!

Yumurta şeklindeki kişisel uçan araba ‘Airscooter’ gökyüzünde saatte 100 km hızla uçabiliyor.   Yumurta Şeklindeki Uçan Araba: Airscooter Jetpack üzerinde...

blank
Teknoloji Galerileri2 sene

Uzun Pozlama Nedir ve Nasıl Uygulanır

Uzun pozlama, yetersiz ışık olan ortamda, nesnenin ya da konunun oluşturduğu hareket hissini fotoğrafta dondurmaktır. Diyafram, enstantane ve ISO ayarı...

Etiket Bulutu

Kategoriler

Trending