Şub 18

Bilgi Güvenliği Açısından Erişim Kontrolü

Genel, Security Yorum Ekle    

 Bir kurumda bilgi güvenliğinin sağlanması adına, uygulanması ve uyulması gereken en önemli maddelerden biri olan erişim kontrolünün hangi açıdan bakarsanız mutlaklık içeren maddelerden oluştuğunu görebilirsiniz. Erişim kontrolünü etkin ve efektif olarak uygulamak, başta veri kaybı olmak üzere birçok konuda daha güvenli bir yapıda olmanızı sağlayacaktır.

Erişim kontrolü bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanması gibi kritik konuları kapsamaktadır. Bu denli kritik bir konuda güvenliğin sağlanması için aşağıdaki maddeler göz önünde bulundurulmalıdır;

Erişim Kontrolü İçin İş Gereksinimleri

Erişim Kontrolü Politikası

  • Erişimle ilgili iş ve güvenlik ihtiyaçları göz önünde bulundurularak erişim denetimi politikası oluşturulmuş ve belgelenmiş olmalıdır.

  • Erişim denetimi hem fiziksel, hem işlevsel boyutları ile değerlendirilmiş olmalıdır.

  • Erişim denetimi politikası bütün kullanıcılar veya kullanıcı grupları için erişim kurallarını ve haklarını açıkça belirtiyor olmalıdır.

  • Kullanıcılara ve servis sağlayıcılarına erişim denetimiyle hangi iş gereksinimlerinin karşılanacağı iyice açıklanmış olmalıdır.

  • Politika belgesi şu konuları içermelidir; her bir iş sürecinin güvenlik ihtiyaçları, iş süreçleri ile ilgili tüm bilgiler ve bu bilgilerin yüz yüze olduğu riskler, bilginin yayılması ve yetkilendirme ile ilgili politikalar, bilginin sınıflandırılması, güvenlik seviyeleri ve "gerektiği kadar bilme" prensibi, farklı sistem ve ağlardaki bilginin sınıflandırılması ve erişim denetimine ilişkin politikaların tutarlı olması, bilgiye erişimle ilgili olarak kontratlardan ve yasal yükümlülüklerden kaynaklanan şartların yerine getirilmesi, kurumun yaygın kullanıcı profilleri ile ilgili erişim hakları ve Erişimin talep edilmesi, yetkilendirilmesi ve yönetilmesi görevlerinin birbirinden ayrılması.

  • Erişim haklarının "Yasaklanmadıkça her şey serbesttir" değil "İzin verilmedikçe her şey yasaktır" prensibine göre verilmesine dikkat edilmelidir.

Kullanıcı Erişiminin Yönetilmesi

Kullanıcı Kaydı

  • Bilgi sistemlerine ve servislerine erişim hakkı vermek için resmi bir kullanıcı kaydı girme ve kullanıcı kaydı silme prosedürü olmalıdır.

  • Sistem kayıtları ile ilişkilendirme ve sorumlu tutulabilme açısından kullanıcı kimliklerinin her kullanıcı için farklı olmasına dikkat ediliyor olmalıdır.

  • Bilgi sistemini ve servisini kullanabileceğine dair sistem sahibi kullanıcıya yetki vermiş olmalıdır.

  • Verilen erişim hakkı kurumsal güvenlik politikasına ve görevler ayrılığı ilkesine uygun olmalıdır.

  • Kullanıcılara erişim hakları ile ilgili yazılı belge veriliyor ve kullanıcılardan erişim şartlarını anladıklarına ilişkin imzalı belge alınıyor olmalıdır.

  • Görevi değişen veya kuruluştan ayrılan personelin erişim hakları derhal güncellenmelidir.

Ayrıcalık Yönetimi

  • Ayrıcalıkların kullanımı sınırlandırılmış ve denetleniyor olmalıdır.

  • Ayrıcalıklar "kullanması gereken" prensibine göre ve resmi bir yetkilendirme süreci sonunda verilmelidir.

Kullanıcı Parola Yönetimi

  • Kullanıcı parolalarının atanması ya da değiştirilmesi resmi bir prosedür uyarınca yapılmalıdır.

  • Kullanıcılara parolalarını saklı tutacaklarına dair bir anlaşma imzalatılmalıdır.

Kullanıcı Erisim Haklarının Gözden Geçirilmesi

    • Kullanıcı erişim haklarının düzenli aralıklarla kontrol edilmesini sağlayan resmi bir süreç olmalıdır.

    Kullanıcı Sorumlulukları
     

    Parola Kullanımı

    • Kullanıcı parolalarının seçilmesi ve kullanılması ile ilgili güvenlik tedbirleri uygulanmalıdır.

    • Sistem tarafından geçici olarak verilen parolaların kullanıcı tarafından sisteme ilk girişte değiştirilmesi sağlanmalıdır.

    • Kullanıcılar zor kırılacak parolalar seçmeleri konusunda bilinçlendirilmiş olmalıdır.

    • Kişisel parolaların hiç kimse ile paylaşılmamasına, yazılı veya elektronik ortamlarda kaydedilmemesine dikkat edilmelidir.

    • Kullanıcılar düzenli aralıklarla veya sistem güvenliği ile ilgili bir kuşku oluştuktan sonra parolalarını değiştirmeye zorlanmalıdır.

    • Kullanıcılar kişisel işlerinde kullandıkları parolaları kuruluşun iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmiş olmalılardır.

    Gözetimsiz Kullanıcı Ekipmanı

    • Atıl cihazlara ait güvenlik gereksinimlerinden, bu cihazları koruma prosedürlerinden ve bu cihazları korumak için üzerlerine düşen sorumluluklardan kullanıcıların ve iş ortaklarının haberleri olmalıdır. (İşi biten kullanıcıların bilgisayarını kapatması ve şifreli ekran koruyucuların kullanılması gibi)

    Temiz Masa ve Temiz Ekran Politikası
     

    • Kuruluş kağıt ve taşınabilir elektronik depolama ortamlar ile ilgili olarak temiz masa politikası uygulamalıdır.

    • Kuruluş bilgi veya bilgi işlem araçları ile ilgili olarak temiz ekran politikası uyguluyor olmalıdır.

    • Hassas bilgileri içeren kağıt ve elektronik depolama ortamlarının kullanılmadığı zaman kilitlenmesi, bilgisayar başından kalkarken personelin oturumunu kapaması veya ancak parola ile açılabilen ekran koruyucu vb. önlemleri devreye sokması, gelen/giden postaya erişim noktalarının ve faks cihazlarının denetlenmesi, fotokopi makinesi, tarayıcı, sayısal fotoğraf makinesi gibi kopyalama teknolojilerinin yetkisiz olarak kullanılmaması ve hassas bilgi içeren dokümanların yazıcı üstünde bırakılmaması konularına özen gösterilmelidir.

    Ağ Erişim Kontrolü

    Ağ Hizmetlerinin Kullanılması İle İlgili Politikalar

    • Kullanıcıların sadece kullanma yetkisine sahip oldukları ağ servislerine erişebilmesi sağlanmış olmalıdır.

    • Ağlar ve ağ servisleri ile ilgili olarak şu konuları düzenleyen politikalar uygulanıyor olmalıdır; kimin hangi ağlara ve ağ servislerine erişebileceğini belirlemek için yetkilendirme prosedürü tanımlanmış olmalıdır, ağ bağlantılarını korumak ve ağ servislerine erişimi engellemek için yönetim denetimleri ve süreçleri belirlenmiş olmalıdır.

    Harici Bağlantılar İçin Kullanıcı Kimliği Doğrulaması

    • Sisteme dışarıdan yapılacak kullanıcı bağlantıları için kullanıcı kimliği doğrulama mekanizmaları uygulanmalıdır. (Kripto tabanlı teknikler veya klasik "challange- response" mekanizmaları ile çözülebilir. VPN çözümleri de bu teknikleri kullanmaktadır.)

    Ağlarda Cihaz Kimliği Belirleme

    • Bağlantının belli bir cihaz kullanılarak yapıldığından emin olmak için otomatik cihaz kimliği belirleme yöntemleri kullanılıyor olmalıdır.

    Uzaktan Tanı ve Yapılandırma Portu Koruma

    • Yönetim ve yapılandırma portlarına fiziksel ve işlevsel erişimi denetleyen bir güvenlik mekanizması olmalıdır.

    Ağlardaki Ayrım

    • Bilgi sistemi üstündeki kullanıcı ve  servisler gruplara ayrılmış olmalıdır.

    • Kurumun ağı dahili ve harici etki alanlarına bölünmüş olmalıdır.

    • Etki alanları kurumun erişim kontrol politikası ve erişim ihtiyaçları uyarınca oluşturulmuş olmalıdır.

    • Etki alanları sınır güvenliği sistemleri ile korunmalıdır.

    • Telsiz ağların diğer ağlardan ayrılması ile ilgili olarak çalışma yapılmış olmalıdır.

    Ağ Bağlantı Kontrolü

    • Kurum sınırlarının dışına taşan ağlar ve ağ bağlantılarının kullanımı, kurumun erişim kontrol politikası uyarınca kısıtlanmış olmalıdır.

    • Elektronik mesaj, tek veya çift yönlü dosya aktarımı, interaktif erişim, bağlantı zamanı ve süresi ile ilgili kısıtlamalar getirilmiş olmalıdır.

    Ağ Yönlendirme Kontrolü

    • Ağ yönlendirme kontrolleri, bilgisayar bağlantılarının ve bilgi akışının erişim politikasına uygun gerçekleşmesini sağlayacak şekilde tanımlanmış olmalıdır.

    • Ağ iletişimi kaynak adres ve hedef adreslere bağlı olarak güvenlik duvarı vb. cihazlar aracılığı ile kontrol ediliyor olmalıdır.

    İşletim Sistemi Erişim Kontrolü

    Güvenli Oturum Açma Prosedürleri

    • Oturum açma işlemleri yetkisiz erişim olasılığını asgari düzeye indirecek şekilde düzenlenmiş olmalıdır.

    • Sistem ve uygulamaya ilişkin olarak yetkisiz kullanıcıya yardımcı olabilecek bilgiler oturuma giriş başarıyla tamamlanana kadar gizlenmelidir.

    • Bilgisayarda sadece yetkili personel tarafından erişilebileceğini bildiren uyarı mesajı gösterilmelidir.

    • Oturuma giriş sadece tüm girdi verilerinin doğrulanmasından sonra sağlanmalıdır.

    • Bir hata durumu varsa sistem verinin hangi kısmının doğru veya yanlış olduğu bilgisini gizlemelidir.

    • Sistem tarafından izin verilen başarısız giriş denemelerine sınırlama getirilmiş olmalıdır.

    • Oturuma giriş işlemi için zaman sınırı olmalıdır.

    • Başarısız giriş denemeleri kaydedilmelidir.

    • Ağ üstünden şifrenin açık olarak gönderilmemesi sağlanmalıdır.

    Kullanıcı Kimlik Tanımlama ve Doğrulama

    • Gerektiğinde sistem kayıtlarının incelenmesi ve bir işlemin sorumlusunun bulunabilmesi açısından her bir kullanıcıya kendine özgü bir kullanıcı kimliği verilmiş olmalıdır.

    • Sistem yöneticilerine ait kullanıcı kimlikleri birbirinden faklı olmalıdır.

    • Kurum bünyesinde kullanılan kullanıcı tanımlama ve yetkilendirme mekanizmaları iş gereklerine uygun olmalıdır.

    Parola Yönetim Sistemi

    • Kurum bünyesinde kullanılan belirli bir parola yönetim sistemi olmalıdır.

    • Parola yönetim sistemi şu özelliklere sahip olmalıdır; kullanıcıları bireysel parolaların kullanımına zorluyor olmalıdır, kullanıcıların kendi parolalarını seçmelerine ve değiştirmelerine izin veriyor olmalıdır, kullanıcıyı kuvvetli parola seçmeye zorlamalıdır, kullanıcıyı belli zamanlarda parolasını değiştirmeye zorlamalıdır, sisteme ilk girişte geçici parolayı değiştirmeye zorlamalıdır, eski parolaları hatırlayarak tekrar kullanılmalarına engel olmalıdır, parolalar ağ üstünden gönderilirken ve saklanırken kriptolama gibi yöntemlerle korunuyor olmalıdır.

    Yardımcı Sistem Programlarının Kullanımı

    • Sistem araçlarının sistem özelliklerini ve uygulama programlarının yetkilerini aşarak ekstra işlemler yapmadığı kontrol ediliyor olmalıdır.

    Oturum Zaman Aşımı

    • Kullanılmayan oturumlar tanımlı bir süre sonunda kapatılmalıdır.

    Bağlantı Süresinin Sınırlandırılması

    • Kurum dışından veya halka açık alanlardan yüksek riskli uygulamalara erişim durumunda bağlantı süresi kısıtlanmalıdır.

    • Kullanıcı belli aralıklarla kimliğini tekrar doğrulamaya zorlanıyor olmalıdır.

    Uygulana ve Bilgi Erişim Kontrolü

    Bilgi Erişimi Kısıtlaması

    • Erişim kontrolü politikası uyarınca kullanıcılar ve destek personeli için bilgi sistemleri fonksiyonları ve bilgilerine erişim kısıtlanmış olmalıdır.

    • Kullanıcıların bilgiyi yazma, okuma, silme veya çalıştırma hakları düzenlenmelidir.

    Duyarlı Sistem Yalıtımı

    • Uygulamanın duyarlılığı uygulama sahibi tarafından açıklanmış ve belgelenmiş olmalıdır.

    • Duyarlı bilgilerin bulunduğu sistemler diğer sistemlerden izole edilmelidir. (Kendisine ait bilgisayarda çalıştırılması, ayrı ağ bölmesine yerleştirilmesi, ağ kaynaklarının ayrılması, sadece gerekli uygulamalar ile iletişim kurulması vb. İzolasyon fiziksel veya işlevsel olarak gerçekleştirilebilir.)

    Mobil Bilgi İşleme ve Uzaktan Çalışma

    Mobil Bilgi İşleme ve İletişim

    • Dizüstü bilgisayar, cep bilgisayarı, cep telefonu, akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından kaynaklanan risklerden korunmak için benimsenmiş bir politika ve uygulanmakta olan güvenlik önlemleri olmalıdır.

    • Mobil bilgi işlem politika belgesi fiziksel koruma, erişim denetimi, kriptografik denetimler, yedekleme ve virüs koruması konularını içermelidir.

    • Mobil bilgi işlem araçlarının halka açık yerler, toplantı odaları gibi korumasız ortamlarda kullanılması sırasında yetkisiz erişime ve bilginin açığa çıkmasına karşı kriptografik tekniklerin kullanılması gibi önlemler alınıyor olmalıdır.

    • Hırsızlığa karşı önlemler alınıyor olmalıdır.

    • Hassas bilgi içeren araçların başıboş bırakılmamasına özen gösterilmelidir.

    Uzaktan Çalışma

    • Uzaktan çalışma faaliyetleri için organizasyonun güvenlik politikasına uygun plan ve prosedürler geliştirilmiş olmalıdır.

    • Uzaktan çalışmanın yapılacağı yerde ekipman ve bilginin çalınmasına, bilgiye yetkisiz erişim yapılmasına, kuruluşun dahili sistemlerine uzaktan yetkisiz erişime ve bilgi işlem araçlarının kötüye kullanılmasına engel olmak için uygun önlemler alınmış olmalıdır.

    Yazan : ceyhun çamlı \\ Etiketler: , , , ,

    Nis 07

    RAS Authentication

    Windows Server 2003 Yorum Ekle    

    Authentication, kullanıcı bilgilerinin doğruluğunu, authorization (yetkilendirme) ise kullanıcının kaynaklara erişmesini sağlar. Authentication özel protokollerin düzenlenmesiyle sağlanırken, authorization kullanıcının hesabındaki dial-in özelliklerinin düzenlenmesiyle sağlanır.

    • Windows Authentication
    • RADIUS

    Windows Authentication seçeneğinde kullanıcılar Windows‘a sorulurken, RADIUS seçeneğinde IAS servisi ile diğer bir kimlik denetimi server’ı kullanılır.

    Authentication Protokolleri
    Remote Access server’lar, kendisine uzaktan bağlanan kullanıcıların kimliğini tanımlamak için authentication yöntemleri kullanırlar. RRAS authentication için değişik protokoller kullanılabilir. Bu protokolleri iki kategoriye ayırmak mümkündür.

    • Standart authentication protokolleri
    • Extensible authentication protokolleri

    Aşağıdaki tabloda authentication protokolleri yer almaktadır.

     

     

     

     

    RAS Authentication

    CHAP: Challenge Handshake Authentication Protocol (CHAP) yaygın olarak kullanılan bir protokoldür. Kullanıcını parolasını temsil eder. CHAP ile uzak client’a bir bilgi gönderilir. Uzaktan erişim sağlayan client bir hash algoritma ile parolayı şifreler.

    SPAP: Shiva Password Authentication Protocol (SPAP), Shiva remote access server’larıyla kullanılan basit bir parola şifreleme protokolüdür.

    MS-CHAP: MS-CHAP ile uzaktaki Windows-tabanlı client bilgisayarlar yetkilendirilir. MS-CHAP, Message Digest 4 (MD4) hashing algoritmasını ve Data Encryption Standard (DES) şifreleme tekniğini kullanır.

     MS-CHAP v2: Windows Server 2003 ailesi MS-CHAP v2′yi destekler. MS-CHAP v2, karşılıklı authentication işlemiyle verileri şifreler.

    EAP: Extensible Authentication Protocol (EAP), PPP’ün genişletilmiş şeklidir. EAP, güvenlik aygıtlarını kullanan authentication metotlarına gereksinim duyulduğu için geliştirilmiştir.

    Windows Server 2003 ailesi iki tür EAP destekler:

    • EAP-MD5 CHAP (CHAP authentication protokolüne eşit)
    • EAP-TLS (sertifika-tabanlı authentication için)

    MPPE: Microsoft Point-to-Point Encryption (MPPE) bir şifreleme protokolüdür. Point-to-Point Protocol (PPP) tabanlı dial-up bağlantılardaki ya da Point-to-Point Tunneling Protocol (PPTP) virtual private network (VPN) bağlantılarındaki verileri şifreler.
    128-bit key (strong), 56-bit key ve 40-bit key (standard) MPPE şifreleme sistemleri kullanılır.

    MPPE, VPN server ile VPN client arasındaki PPTP bağlantılarında veri güvenliği sağlar.
    MPPE, MS-CHAP (MS-CHAP v2) ya da EAP-TLS tarafından oluşturulmuş şifreleme key’lerine gereksinim duyar.

    RAS Politikası (RAS Policy)

    RAS konusunda uzaktan bağlantının kontrolünde belli kuralların uygulanacağını belirtmiştik. İşte Remote Access Policy’ler, bağlantıyı düzenleyerek yalnızca belli kullanıcıların ve grupların uzaktan bağlantıyı gerçekleştirmelerini sağlar.
    Remote Access Policy’ler Active Directory içinde değil, RAS server üzerinde saklanırlar. Bu, düzenlemelerin server’ın durumuna göre değişebileceği anlamına gelir.
    Bir remote access policy üç bileşenden oluşur. Bu bileşenler Active Directory ile ilişki içinde kullanıcıları kısıtlar. Remote access policy bileşenleri şunlardır:

    • Conditions (Koşullar)

    • Permissions (izinler)

    • Profile (Profil)


    Koşullar, tarih, saat, gün, kullanıcı ID’si, IP adresi gibi bilgilerdir. Bu bilgiler bağlantının nasıl, ne zaman ve kim tarafından yapılacağını tanımlar.
    İzinler, hem kullanıcının kullanıcı kaydındaki dial-in düzenlemeleri, hem de Remote Access Policy düzenlemelerinin bileşimi olarak bağlantının yapılıp yapılmayacağını belirtir.
    Profil ise, her policy için düzenlenen protokol, şifreleme (encryption) ve diğer tanımlamaları içerir. Profil düzenlemeleri bağlantıya hemen uygulanır ve koşulları uymadığında bağlantıyı kabul etmez.

    RAS Politikalarının Değerlendirilmesi


    Uzaktan gelen bir bağlantının değerlendirilmesi, bir RAS politikasıyla yapılabilir. Ancak RAS politikalarının kullanımı için Windows Server 2003 Active Directory’nin domain functional level’ı önemlidir.
    Domain functional level (fonksiyon düzeyi) mixed ise varsayım remote access policy’nin gelen bağlantılar üzerinde bir etkisi olmaz. Bu durumda kullanıcının ayarlarına göre uzaktan erişim yapılır (allow) ya da engellenir (deny).
    Varsayım policy “Allow access if dial-up permission enabled” olarak adlandırılır ve RRAS kurulduğunda yaratılır. Bu policy, erişimi kullanıcının hesabı ile kontrol eder.

    Birden Çok Policy Olduğunda?

    Network yöneticisi, şirket içindeki farklı gruplara göre farklı uzaktan erişim ilkeleri uygulamak isteyebilir. Böylece daha fazla ilke üretmek ve uygulamak söz konusu olabilir. Bu durumda uzak bağlantı sırasıyla kendisine uyan en az bir politika oluncaya kadar denenir.

    Remote Access Policy oluşturmak için gerekli adımlar:

     

     

     

     

     

     

     

     

    1. Routing and Remote Access’i açın ve sunucu adını çift tıklayın.

    2. Remote Access Policies’i sağ tıklayın ve New Remote Access Policy’yi seçin.

    3. Bir ilke yaratmak için New Remote Access Policy Wizard’ı kullanın

    Kullanıcıların Dial-in Ayarı

    Dial-in bağlantıyla RAS server bağlanacak kullanıcıların kullanıcı kaydının (Stand-alone serverda yerel kullanıcı olarak ya da Active Directory DC’de domain kullanıcısı olarak) olması gerekir.

    Kullanıcı kayıtlarının Dial-In tabında uzaktan erişim seçenekleri düzenlenir:

    Allow access: Kullanıcının dial-up bağlantıyla bağlanabilmesi olanaklı.
    Deny access: Kullanıcının dial-up bağlantıyla bağlanabilmesi olanaklı değildir.
    Control access through Remote Access Policy: Kullanıcın bağlanması düzenlenen policy’lerle belirlenir. Stand alone Windows Server 2003 RAS server ya da Active Directory (native modda) ise bu seçenek kullanılır. Mixed domainlerde olmaz. Çünkü Windows NT’de vardır.

    Caller ID bölümünde kullanıcının aradığı telefon numarası RAS server üzerindeki numara ile eşleştirilir. Numara uymazsa, bağlantı kabul edilmez.

    Callback seçenekleri ise RAS serverın kullanıcıyı geri aramasını sağlar.

    No Callback: Geri arama yok.
    Set By Caller: Numara arayan tarafından düzenlenir.
    Always Callback to: Belli bir numara aranır.

    Assigning Static IP Address seçeneği, bir bağlantı sağlandığında kullanıcıya atanacak olan IP adresini belirtir.

    Applying Static Routes seçeneği ise network yöneticisinin routera belli statik IP routlarını eklemesini sağlar. Böylece kullanıcı bağlantısı gerçekleştiğinde LAN’a erişebilir.. Bu düzenleme genellikle demand-dial ile anlamlıdır.

    Kullanıcılara IP Adresi Atamak

    Remote Access ve Demand-Dial olarak bağlanan client bilgisayara atamak üzere IP adresi verilebilir. Bu işlem iki türlü yapılabilir.

    Dinamik olarak
    Statik olarak
    DHCP’den (dinamik olarak):

    Belirtilen DHCP server’dan IP adresleri otomatik olarak alınır.

    Static address pool (statik adres veritabanında):

    Manuel olarak eklenmiş IP adreslerinden alması sağlanır.

     IP adresi atamak için:

    1. Administrative Tools menüsünden Routing and Remote Access’ı başlatın.

    2. Konsol üzerinde server adını sağ tıklayın ve Properties’ı seçin.

    3. IP tabını açın. İstediğiniz adres dağıtım yöntemini seçin.

    • DHCP’den (dinamik olarak)
    • Static address pool (statik adres veritabanında)

    Bir sonraki makalemizde RAS’ı izlemek IAS (Internet Authentication Service) ve RADIUS’tan bahsedeceğiz.

    Yazan : ceyhun çamlı \\ Etiketler: ,

    Nis 06

    Kimlik Denetimi Protokolleri

    Genel Yorum Ekle    

    İşletim sistemlerinde kimlik denetimi protokollerini uygulayarak, aygıt ve hizmetlerin sadece yetkili kullanıcılar  tarafından erişilmesini kontrol edebilirsiniz. Bunların bazıları nesnelerin içine yerleşiktir, diğerleri ise işletim sisteminize, özel nesneler ekleminizi gerektirir. Örnek olarak, eğer NTLM SSP ve/veya Kerberos SSP kullanmak istiyorsanız, bu nesneleri işletim sisteminize eklemeniz gerekir. NTLM ve Kerberos, SSPI (Security Support Provider Interface) vasıtasıyla uygulanır.

    SSPI, kimlik denetimi için bütünleşik güvenlik hizmetlerini, mesaj bütünlüğünü ve mesaj gizliliğini sağlamaya yarayan, iyi tanımlanmış ve ortak olarak kullanılan bir API olan Secur32.dll modülü sayesinde kullanılabilir.

    Uygulama seviyesi protokolleri ile güvenlik protokolleri arasında tecrit edilmiş bir katman sağlar. Çünkü, farklı uygulamalar kullanıcıları farklı yollarla teşhis etmeyi veya kimliğini doğrulamayı ve network üzerinde dolaşan verileri farklı yollarla şifrelemeyi gerektirir. SSPI,  farklı doğrulama ve şifrelemeyle ilgili veri şemalarını içeren DDL(Dynamic Link Library) lere erişim için bir yol sunar. Bu DDL’ler, SSP(Security Support Provider)’ler olarak adlandırılır.

    Kerberos Versiyon 5 Doğrulama Protokolü

    RFC 1510 içinde tanımlanan Kerberos Ağ Doğrulama Servisi versiyon 5, açık ve potansiyel olarak  güvensiz bir ağ üzerindeki kullanıcı ve servislerin (principals) kimliklerini doğrulamak için bir araç sağlar.

    Bu bölüm RFC standart Kerberos versiyon 5 doğrulama protokolünün Windows Server 2003’de nasıl kullanıldığını ele alır.

    Kerberos Doğrulaması açık bir ağda (ağ boyunca gönderilen paketlerin istenildiği zaman izlenebildiği ve değiştirilebildiği), bir istemci ile bir sunucu arasında karşılıklı doğrulama için bir mekanizma sağlar. Güvenli doğrulama sağlamak amacıyla, Kerberos Doğrulaması, simetrik anahtarlar,şifrelenmiş nesneler ve Kerberos servisleri kullanır.

    Windows Server 2003, Kerberos V5 doğrulama protokolünü bir SSP (Security Support Provider) – işletim sistemi tarafından sağlanan bir DLL(Dynamic link library) olarak yürütür.

    Windows Server 2003 aynı zamanda NTLM doğrulaması için de bir SSP içerir. Varsayılan olarak, sistem boot ettiğinde her iki SSP de bir Windows Server 2003 bilgisayarı üzerindeki LSA (Local Security Authority) tarafından yüklenir.

    Sistem SSP yi hem ağ oturumu açmayı doğrulamak için hem de istemci/sunucu bağlantıları için kullanabilir. Hangi SSP’nin kullanılacağı bağlantının diğer tarafındaki bilgisayarın kabiliyetlerine ve kullanılan uygulamanın tercihlerine bağlıdır.

    Kerberos doğrulama protokolünün Windows Server 2003 de tercih edilme sebebi, aşağıda yazılanları da içeren bütün Domain servislerinin Kerberos SSP’yi desteklemesidir ;

    •         LDAP(Lightweight Directory Access Protocol) kullanarak Active Directory sorguları
    •         RPC çağrıları kullanarak uzak sunucu veya iş istasyonu yönetimi
    •         Yazdırma servisleri
    •         İstemci-sunucu doğrulaması
    •         CIFS/SMB (Common Internet File System/Server Message Block) kullanarak uzaktan dosya erişimi
    •         Dağıtılmış dosya sistemi yönetimi ve göndermeleri
    •         IIS (Internet Information Services) için Intranet doğrulaması
    •         IPSec(Internet Protocol Security) için güvenlik yetkilisi doğrulaması.
    •         Domain kullanıcıları ve bilgisayarlar için sertifika servislerine sertifika istekleri

    Yazan : ceyhun çamlı \\ Etiketler: