Kimlik denetimi ve yetkilendirme mimarisi

Bilişim teknolojilerindeki tüm varlıkların, objelerin (asset) kullanımının en temel amacı bilginin işlenmesi, saklanması ve görünürlüğünün bilgi güvenliği prensiplerine göre kullanılabilirliğinin sağlanmasıdır. Bunun temel amacı güvenlik prensipleri; gizlilik, bütünlük ve erişilebilirliktir.

Bu temel amaçlar; kaynaklara, hizmetlere ve servislere yetkisiz erişimi ve yetkisiz değişiklikleri engellemektir. Varlıklara veya verilere erişim kontrolü yapmayan bir sistemin güvenliği zafiyete ve sonunda da istismara açıktır.

Kurumsal olarak kendi ağında trafik oluşturulan herhangi bir objeyi tanımlayamamak, izleyememek, bilmemek oluşabilecek bilgi güvenliği ihlallerindeki veri sızıntısının boyutlarının hangi boyutta olduğunu yani hasar tespiti yapılamamasına neden olmaktadır.

Bilişim teknolojileri ekosisteminde kurumsal, finansal, sosyal vb. faaliyetlerin yaygın olarak kullanılmaya başlanmasıyla birlikte, uygulamalar için kimlik doğrulaması, yetkilendirme, izleme, erişilebilirlik gibi temel güvenlik fonksiyonları uygulamalara eklemlenmiştir.  Ancak, çok sayıda varlığı ve uygulamayı barındıran karmaşık sistemlerde bu güvenlik mekanizmalarını yönetmek bir takım zorlukları da beraberinde getirmektedir. Kapsamlı ve karmaşık bir sistemde bulunan bu varlık ve uygulamalara kullanıcıların etkin olarak erişimini kontrol etmek için kimlik yönetim sistemlerine ihtiyaç duyulmaktadır.

802.1x port tabanlı ağ erişim denetimi

Uçtan-uca bağlantı özelliklerine sahip bir yerel ağ portuna takılan cihazların kimlik doğrulaması ve yetkilendirmesi için kullanılmaktadır. Kimlik doğrulamasının ve yetkilendirmesinin başarısız olması durumunda o portu, bilişim kaynaklarına erişimden koruyarak ilgili portun ve erişim talebinin kapatılmasını sağlamaktadır. Kimlik doğrulama ve yetkilendirme başarısızsa, o port erişime kapatılır ve bu sayede yerel ağ altyapısı korunmuş olur. Kullanıcı kimlik doğrulama( Authentication), yetkilendirme (Authorization), kayıt tutma (Accounting)  mekanizmalarının tamamını yaparak güvenlik sıkılaştırma politikalarına göre tasarlanmaktadır. Kurumsal ağa kimin hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirmesi; kullanıcı odaklı, ağ tabanlı erişim kontrolü olan kimlik doğrulama sunucusu tarafından belirlenir.

802.1X, geleneksel ağ yapıları kablolu ağlar için geliştirilmiş bir standart iken, bilişim teknolojilerin gelişmesiyle birlikte kablosuz ağlar için de kullanılması söz konusu olmuştur. Bu yaklaşım, istemci ile erişim noktası arasında kimlik denetleme sunucusu kullanarak kimlik denetleme ve port tabanlı erişim kontrolü sağlamaktadır. 802.1X; Genişletilebilir Kimlik Doğrulama Protokolü (EAP, Extensible Authentication Protocol) tabanlıdır. EAP, birçok kimlik denetimi yönteminden, kendi ağları için uygun olanını seçmesini sağlayan bir güvenlik mimarisidir. Bu mimarinin genel olarak çalışma şekli şu şekildedir:

• Kullanıcı kimlik denetleyicisine (Authenticator) erişim bağlantı talebinde bulunur. Kimlik denetleyicisi, bağlantı isteğini aldıktan sonra, tüm portları kapalı tutar. Ancak kullanıcı ile arasındaki iletişimin devam etmesi için sınırlı bir port açar. Kimlik denetleyicisi kullanıcıdan kullanıcı kimliğini ister. Kullanıcı, kimliğini gönderir. Kimlik denetleyicisi kimlik bilgisini bir kimlik denetleme sunucusuna (Authentication Server) gönderir. Kimlik denetleme sunucusu kullanıcının kimliğini denetler ve doğruladığında onay mesajını kimlik denetleyicisine gönderir.
• Kimlik denetleyicisi, kullanıcının portunu yetkilendirilmiş duruma getirir. Kullanıcı kimlik denetleme sunucusundan kimliğini ister, kimlik denetleme sunucusu kimlik bilgisini kullanıcıya gönderir.
• Kullanıcı kimlik denetleme sunucusunun kimliğini doğruladığında veri trafiği başlamış olur.

802.1X objeleri

İstemci (Supplicant)

IEEE 802.1x standardı, istemciyi “noktadan-noktaya yerel ağın bir ucunda bulunan ve diğer ucundaki kimlik denetleyici tarafından kimliği doğrulanacak olan varlık” olarak tanımlar. Bu bir masaüstü bilgisayar, kablosuz dizüstü bilgisayar, mobil cihazlar veya IP adresi alan herhangi bir cihaz olabilir. İstemci 802.1x Kimlik Doğrulama işleminin öznesi ve ağa bağlanmak isteyen bir aygıttır. İstemci normalde doğrudan kimlik doğrulayıcı sunucusuna değil erişim noktasına bağlıdır.

Kimlik denetleyici ( Authenticator)

Kimlik denetleyici genellikle bir anahtarlama cihazı veya kablosuz erişim noktası olabilir. Kimlik denetleyici istemciye hizmet sunan ve istemcinin kimliğini doğrulamasını 802.1x standardına göre yapan bir cihazdır. Kimlik denetleyici, kimlik doğrulama sunucusu ile istemci arasındaki kimlik doğrulama bilgi trafiğinin taşınmasını sağlar. Bütün yetkilendirme ve kimlik doğrulama işlemleri ve süreçleri, istemci ile kimlik doğrulama sunucusu arasında gerçekleşmektedir. Kimlik denetleyicilerinin önemi sistem üzerinde birden fazla kimlik doğrulama sunucusu var ise buradaki yönlendirmeyi (load balance) yapmaktır. Kimlik denetleyici bir sunucuyla konuşacak bu birincil sunucunun servislerinin durması vb. durumlarda diğer sunucuyla konuşmaya geçecektir. Bu tarz bir mimaride çalıştırılması sistemin yedeğini ve erişilebilirliğini sağlayacaktır.

Kimlik doğrulama sunucusu ( Authentication Server)

Kimlik doğrulama sunucusu, kimlik doğrulama (Authentication), yetkilendirme (Authorization) ve kayıt tutma (Accounting) (AAA) işlemlerini yapan cihazdır. Kimlik doğrulama sunucusu, istemcinin erişim talebine (kimliğine) bakarak kimlik denetleyici tarafından sağlanan servislere erişip erişmeyeceğine göre onaylama mekanizması olarak çalışır. İstemciden kimlik bilgilerini istemek ve bu bilgileri veri tabanındaki verilerle karşılaştırarak kimliği doğrulamak ya da gelen talepler geçersiz ise bu istekleri sonlandırmak kimlik doğrulama sunucusunun görevidir.

802.1x Trafik Analizi

Oturumun Başlatılması (Initiation)

802.1 x doğrulaması switch ya da istemci tarafından başlatılabilir. Switch üzerinde herhangi bir port çalışır olduğundan itibaren switch doğrulama oturumunu başlatır. Switch doğrulamayı EAP-Request-Identity mesajını istemciye göndererek başlatır. Eğer switch bir cevap almaz ise istek mesajını belli aralıklarla yeniden aktarır.

İstemci kimlik doğrulamasını bir EAPoL-Start frame yollayarak  başlatabilir.  EAPoL-Start mesajı switchten periyodik olarak gelen bir sonraki EAP-Request-Identity  mesajını beklemeden istemcinin kimlik doğrulama işlemini hızlandırmasına olanak verir. EAPoL – Start mesajı, istemcinin  switchten gelen bir EAP-Request’i işlemek için hazır olmadığı (örneğin işletim sisteminin  hala boot ediyor olmasından dolayı) ya da  switch üzerinde hiçbir fiziksel bağlantı durumu değişiminin olmadığı (örneğin istemcinin bir IP telefonu ya da hub aracılığıyla dolaylı olarak bağlanmasından dolayı) durumlarda gereklidir.

Doğrulama (Authentication)

Bu evre boyunca switch, istemci ile kimlik doğrulama sunucusu arasında EAP mesajların aktarımını ,EAPoL frame’indeki bir EAP mesajını herhangi bir RADIUS paketinin içindeki AV-pair ‘a kopyalayarak ya da bu kopyalama işlemini ters yönde yaparak gerçekleştirir. Değiş tokuş işleminin ilk kısmında istemci ve kimlik doğrulama sunucusu bir EAP metodu üzerinde anlaşırlar.

Bu takas işleminin kalan kısmı ise belirli bir EAP metodu ile tanımlanır. Bu metot istemcinin kimliğinin doğrulanması için kullanılacak kimlik türünü  ve bu kimliğin nasıl sunulacağını tanımlar. Metodun türüne bağlı olarak bağlı olarak, istemci bir şifre , sertifika, simge ya da başka bir kimlik sunabilir. Böylece sunulan kimlik hash algoritması ile ya da korunması sağlanmış başka bir form olarak bir TLS-encrypted tünelin içine geçirilebilir.

Yetkilendirme (Authorization)

Eğer istemci geçerli bir kimlik sunarsa, kimlik doğrulama sunucusu kapsüllenmiş bir EAP-success mesajı ile birlikte bir RADIUS Access-Accept mesajı ile geri dönüşte bulunur. Bu mesaj switche, istemcinin porta erişim sağlamasına izin verilmesi gerektiğine işaret eder. İsteğe bağlı olarak, kimlik doğrulama sunucusu Access-Accept mesajına dinamik network erişim ilkeleri talimatlarını dahil edebilir. Dinamik ilke talimatlarının yokluğu durumunda switch basit bir şekilde portu açar.

Eğer istemci geçersiz bir kimlik sunarsa  ya da  ilke sebeplerinden dolayı networke bağlanmasına izin verilmezse , kimlik doğrulama sunucusu kapsüllenmiş bir EAP-Failure mesajı ile birlikte bir RADIUS Access-Reject mesajı ile geri dönüşte bulunur. Bu mesaj switche, istemcinin porta erişim sağlamasına izin verilmemesi gerektiğine işaret eder. Nasıl konfigüre edildiğine bağlı olarak switch, kimlik doğrulama işlemini tekrar yapmaya çalışabilir, portu Auth-Fail VLAN’ın içine konuşlandırabilir ya da alternatif bir kimlik doğrulama metodu deneyebilir.

Oturum Hesabı Açılması (Accounting)

Eğer switch başarılı bir şekilde kimlik doğrulama ilkesini uygulayabiliyorsa o switch kimlik doğrulama sunucusuna yetkilendirilmiş oturumunun detayları ile birlikte bir  RADIUS Accounting-Request mesajı yollayabilir. Accounting-Request  mesajları lokal olarak yetkilendirilmiş oturumlar için gönderildiği gibi dinamik olarak yetkilendirilmiş oturumlar için de gönderilir. Örnek olarak Guest VLAN ve Auth-Fail VLAN verilebilir.

Oturum Sonlandırma (Termination)

Oturum sonlandırılması 802.1X kimlik doğrulama işleminin önemli bir kısmıdır. Doğrulaması yapılmış bir oturumun bütünlüğünün sağlanması için doğrulanmış bir bitiş noktasının networkten kopması gerçekleştiğinde bütün oturumlarının temizlenmesi gerekir. Hemen sonlandırılmamış oturumlar güvenlik ihlallerine ve güvenlik boşluklarına yol açabilir. İdeal olarak, oturumun kapatılması bitiş noktasının fiziksel olarak ayrımının gerçekleşmesi ile birlikte meydana gelir. Fakat, eğer ki bitiş noktası dolaylı olarak bağlandıysa ,örneğin bir IP telefonu ya da hub vasıtasıyla, oturumun bu şekilde hemen sonlandırılması mümkün olmayabilir.

802.1x Protokolleri

EAP (Extensible Authentication Protocol)

802.1x standardında, istemci kimliği doğrulanana kadar bir LAN geçiş bağlantı noktası veya kablosuz AP aracılığıyla bir istemciye LAN erişimi açılmaz. Genişletilebilir Kimlik Doğrulama Protokolü (EAP), kimlik bilgilerini kullanan rastgele kimlik doğrulama yöntemlerine ve rastgele uzunluklarda bilgi alışverişine izin vererek Noktadan Noktaya Protokolü’nü (PPP) genişletir. EAP, akıllı kartlar ve şifre hesaplayıcılar gibi güvenlik aygıtlarını kullanan kimlik doğrulama yöntemleri sağlar.  EAP, PPP içindeki diğer kimlik doğrulama yöntemlerini destekleyen endüstri standardı bir mimari sağlar. Pek çok kimlik doğrulama protokolü EAP varyasyonları olup 802.1x çerçevesinde çalışır. EAP; OSİ katmanları içerisinde 2.katmanı kullanarak kimlik doğrulaması yapmak için tasarlanmıştır.

EAP Standartlı Kimlik Doğrulama Protokolleri

EAP-MD5 (Message Digest 5)

MD5, EAP kimlik denetleme yöntemlerinin en basitidir. Kablosuz ağlarda şifrenin açık gitmesinden dolayı önerilmez. Kablosuz ağlarda kullanıldığı zaman, en az güvenli olanıdır, bu sebeple daha çok kablolu ağlarda kullanılır. MD5; istemciden ağa tek yönlü bir kimlik denetleme yöntemidir.

EAP-FAST(Flexible Authentication via Secure Tunneling)

Cisco tarafından geliştirilen EAP-FAST; karşılıklı doğrulamayı sertifika kullanmak yerine, sunucu tarafından dinamik olarak yönetilen PAC (Protected Access Crediental) teknolojisini kullanarak gerçekleştirir. EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tüneli oluşturmak için PAC adında bir referansa ihtiyaç duyular. PAC bir PAC sunucusu vasıtasıyla veya EAP-FAST fazlarında dinamik olarak oluşturulabilir. Tünel bir kez kurulduğunda, kullanıcılar kullanıcı adı ve şifreleriyle kimlik denetiminden geçerler. Yönetimsel karışıklıkları azalttığı için esnek bir protokoldür. Kullanıcıların dijital sertifikalar kullanmasına ve güçlü şifre kurallarına gerek yoktur.

LEAP (Lightweight EAP)

LEAP; Cisco tarafından geliştirilen, özellikle Cisco Aironet kablosuz ağlarında kullanılan çift yönlü kimlik denetimini destekleyen bir EAP kimlik denetleme yöntemidir. RADIUS sunucusu yolu ile kimlik denetimi için kullanıcı adı ve şifresini ve erişim noktası (AP) kimliğini kullanır. Kimlik denetimi üzerine LEAP, oturum kullanımı için tek zamanlı WEP anahtarları üretir. Data transferini her şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve karşılıklı kimlik doğrulamayı sağlar. LEAP kullanarak, her kullanıcı kablosuz ağa farklı WEP anahtarı kullanarak bağlanır.

EAP- TLS (Transport Layer Security)

TLS, SSL den önce kullanılmaya başlayan bir kriptografi protokolüdür. Bu protokolün amacı haberleşen iki uygulama arasında veri güvenliği ve bütünlüğünün sağlanmasıdır. TLS, çift yönlü kimlik denetimi sağlamak için X.509 dijital sertifika kullanan, standart haline gelmiş bir IETF denetleme yöntemidir. TLS’nin üretimi, dağıtımı ve genel yönetimi için bir Açık Anahtar Altyapısı (PKI) gerektirir. PKI bilgisini iletmek için; TLS, SSL kullanır. Protokol iki katmandan oluşur. İlk katman TLS kayıt protokolü, diğeri ise TLS el sıkışma protokolüdür. TLS kayıt protokolü ile veriler simetrik şifreleme anahtarları ile şifrelenir. Her bağlantı için farklı bir simetrik şifreleme anahtarı kullanılır. Bu anahtar TLS el sıkışma protokolü kullanılarak alıcı ve verici tarafından paylaşılır. TLS el sıkışma protokolü ile haberleşecek tarafların birbirlerini yetkilendirmeleri, şifreleme algoritması ve anahtarların karşılıklı değişimi sağlanır.

EAP-TTLS (Tunneled Transport Layer Security)

TTLS; bir IEFT standartı olan, TLS’nin istemci sertifikası ihtiyacını ortadan kaldırmak için geliştirilen, iki kimlik denetleme (diğeri PEAP’dir) yönteminden biridir. TTLS, istemci ile kimlik denetleme sunucusu arasında kurulan SSL tünelini kullanarak güvenli bir biçimde kimlikleri iletebilir.

EAP-TLS’e alternatif olan TTLS kimlik denetim sisteminde kimlik doğrulama bilgisinin güvenli bir şekilde iletilebilmesi için istemci ile sunucu arasında TLS ile şifreli bir oturum oluşturulur. Sorgulama ve yanıt paketleri, herkese açık olmayan TLS şifreli bir kanal üzerinden gönderilir. Bunun için sucunu için tek bir anahtar çifti oluşturulur. İstemci rastgele oluşturduğu anahtarı kendi public anahtarı ile şifreleyip sunucuya yollar. Bundan sonraki haberleşme bu yeni ortak anahtar ile simetrik şifreleme ile devam eder.

PEAP (Protected EAP)

EAP protokol ailesine ait olan PEAP (Protected Extensible Authentication Protocol) istemci ve kimlik doğrulama sunucusu arasında taşınan paketleri TLS tüneli ile şifreleyerek gönderir. Microsoft, Cisco ve RSA Security’nin geliştirdiği, şu an IEFT standardı olan bir kimlik doğrulama metodudur.

Sonuç olarak, BT teknolojilerinin iş süreçleri üzerinde etkinliğinin artmasıyla birlikte BT süreçleri daha büyük önem kazanmış ve iş sürekliliğinin sağlanmasında anahtar bir rol model olmuştur. Kimlik yönetiminin ve denetiminin kurumsal iş süreçleri çerçevesinde bütüncül ve kaynakların güvenli yönetilmesi adına kapsayıcı bir şekilde ele alınması gerekmektedir. Temel bilgi güvenliği prensiplerinden olan veriye erişilebilirliği, erişimin kontrolünün yönetilebilir bir yapıya kavuşturulması kimlik yönetimi süreçlerinden geçmektedir. Kurumsal varlıklara erişimler bilgi güvenliği olgunlaştırma yöntemine göre yapılmalı ve kontrol edilmelidir.

Kaynaklar: 

• http://what-when-how.com/ccnp-ont-exam-certification-guide/802-1x-and-eap-authentication-protocols/
• https://technet.microsoft.com/tr-tr/library/cc754179(v=ws.11).aspx
• http://www.computerworld.com/article/2581074/mobile-wireless/how-802-1x-authentication-works.html
• http://www.networkworld.com/article/2216499/wireless/what-is-802-1x-.html
• http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/MAB/MAB_Dep_Guide.html#wp392713
• http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800-53-rev4-ipd.pdf
• http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/Dot1X_Deployment/Dot1x_Dep_Guide.html

Bilişim Uzmanı / Ömer Faruk Sünnetçioğlu