Tem 23

Sertifikalar (Certificates)

Genel, Windows Server 2003 Yorum Yok »

PKI uygulamalarında her kullanıcının biri özel diğeri genel olmak üzere iki anahtarı bulunur. Kullanıcının genel anahtarı herkese açık olup, özel anahtarı yalnız kullanıcının kendisi (kullanıcı uygulaması) tarafından bilinir. Özel ve genel (public) anahtar arasında çözülmesi pratikte olanaksız olan matematiksel bir ilişki vardır. Bu durumda kullanıcının genel anahtarı ile şifrelenen bir mesaj, o kullanıcının özel anahtarı ile çözülebilir. Bu nedenle bir kullanıcıya şifreli bir mesaj göndermek istendiğinde mesaj bu kullanıcının genel anahtarı ile şifrelenebilir ve böylece mesaj gerçek alıcısı dışında kimse tarafından deşifre edilemez.

PKI sistemi key’lerle (anahtar değerler) sağlanmaktadır. Ancak bu key’leri kim üretecek? Sistemden kim sorumlu olacak? Ya da kullanıcının genel anahtarının gerçekten o kullanıcıya ait olduğundan nasıl emin olabiliriz? İşte sertifika otoriteleri (CA – Certificate Authority) bu aşamada ortaya çıkmaktadır. Bir PKI sisteminde, tüm kullanıcıların tanıdığı (güvendiği) ve genel anahtarı tüm kullanıcılar (uygulamalar) tarafından bilinen bir sertifika otoritesi bulunur. Kullanıcıların genel anahtarları, sertifika otoritesinin güvencesi altındadır ve genel anahtarlar sertifika otoritesi tarafından imzalanmıştır.

PKI Teknolojisi belli servislerden oluşur:

Dijital sertifika: Bilgisayar ve kullanıcıların kimlik denetimi yapmak üzere kullanılan sistem.
CA: Sertifikaları yayınlamayı ve yönetmeyi sağlar.
Sertifika Şablonu (Certificate Template): Sertifikaların içeriğini ve amacını tanımlar.

Sertifika Araçları:
• Certificates snap-in
• Certificates Template
• Certification Authority
• Certutil.exe ve certreq.exe

Windows Server 2003 Sertifika Servisleri

Bir sertifika bir otorite tarafından yayınlanan sayısal bir tanımlamadır. Sertifikalar bir public key’i, private key’e sahip olan bir kişiye, bilgisayara ya da servise bağlar. 

Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition ve Windows Server 2003 Datacenter Edition'da sertifika yetkililerini (certification authorities (CA) yaratmak ve yönetmek için Certificate Services bileşeni kullanılır.

Bir CA, sertifikayı kullananın kimliğini belgelemek ya da oluşturmaktan sorumludur.

En basit PKI tasarımında bir root CA vardır. Bununla birlikte birçok organizasyonda sertifika hiyerarşisi içinde organize edilmiş çok sayıda CA kullanılır.

Sistem yöneticileri sertifika servislerini Certification Authority MMC konsoluyla yönetirler.

Bir Sertifikanın İçeriği

Bir sayısal sertifika, bir kullanıcı, şirket ya da özel bir varlık için public key ve sertifikayı yayınlayan yetkiliyi (certification authority) içerir.

Public key değerinin yanı sıra sayısal sertifikaların içindekiler:

Version: X.509'un versiyonu
Serial number: Sertifikayı tanıtan benzersiz bir değer. 3278-N22-KUİ
Signature algorithm identifier: CA'nın kullandığı algoritma
Issuer name: Sertifikayı yayınlayan varlığın adı
Validity period: Sertifikanın geçerli olduğu zaman
Subject name: Sertifikanın yayınlandığı konu.

Sertifikaların sağladığı olanaklar

» Server ve Client authentication: Server ve client bilgisayarların kimliklerinin doğrulanmasını sağlar.

» Kod imzalama (Code signing): Sertifika ile sağlanan anahtar çiftiyle içeriğin imzalanmasıdır.

» Güvenli e-mail: E-mail mesajlarını imzalamak için sertifika ile ilişkilendirilmiş key çiftlerini kullanmaktır.

» EFS: Windows Server 2003 tarafından desteklenen EFS sistemi NTFS üzerindeki dosyaların belli bir kullanıcı için şifrelenerek kullanılmasını, başka kullanıcılar tarafından açılamamasını sağlar.

» IPSec: IP-tabanlı network trafinin şifrelenmesi için yine anahtar çifti ile ilişkilendirilmiş sertifikaların kullanılmasını sağlar.

Sertifika Şablonları (Certificate Templates)

Sertifikalar CA tarafından sertifika isteğine ve sertifika şablonundaki ayarlara göre yayınlanırlar. Bir sertifika şablonu, gelen sertifika isteklerine karşı uygulanan bir dizi kural ve düzenlemeleri içerir.Windows Server 2003'de sertifika şablonları özelleştirilebilir. Windows Server 2003 Enterprise ve Datacenter Edition enterprise CA'ları  Active Directory içinde saklanır ve forest içinde bütün CA'lar tarafından kullanılabilir. Bu, sistem yöneticisinin Certificate Services ile kurulmuş bir ya da da çok varsayım şablondan birisini seçmesini sağlar.

External ve Internal CA

Bir CA external ya da internal olabilir. Örneğin ticari bir CA tarafından dağıtılan sertifikalar milyonlarca kişiye dağıtılabilir. Bunun yanı sıra CA'lar internal da olabilir. Örneğin şirket içindeki bir bölüm, kendi sertifikaları doğrulamak ve dağıtmak için bir server kurabilir.

Sertifikaları dağıtma süreci:

1.  CA sertifika isteğini kabul eder.

2.  CA istekte bulunanın bilgilerini kontrol eder.

3.  CA sertifikaya sayısal imza uygulamak için kendi private key değerini kullanır.

4.  CA sertifikaları bir PKI içindeki güvenlik hakkı olarak kullanılır.

Sertifikaların Geçersiz Hale Gelmesi (Certificate Revocation)

Bir CA ayrıca sertifikaları geri çevirmek (revoke) ve bir Certificate Revocation List (CRL) yayınlamaktan da sorumludur. Bir sertifikanın geri çevrilmesi sertifikanın geçersiz olmasını tanımlar. Aşağıda, bir sertifikanın zaman aşımından önce geri çevrilmesini sağlayan nedenler yer alır:

• Sertifika konusunun özel anahtarının yetkisinin geçersiz olması

• Sertifikanın hile ile elde edildiğinin anlaşılması

• Güveni oluşturan sertifika konusunun değişmesi

 Bir sonraki makalemizde sertifika servisini kurmayı ve CA hiyararşini anlatacağım. Umarım yararlı olmuştur.

Yazar ceyhun çamlı \\ tags: , , , ,

Tem 22

PKI (Public Key Infrastructure)

Genel, Windows Server 2003 Yorum Yok »

 

Modern kriptografide bilginin şifreli biçimde saklanması, bilinenin aksine algoritma üzerine değil, key (secret key) olarak adlandırılan sayılar üzerine tasarlanmıştır. Bir key ile şifrelenen bu düzenlemede şifrenin çözülmesi ancak diğer bir key ile yapılabilmektedir.

 

İki tür key tabanlı şifreleme vardır:

 

• Symmetric Key Encryption

• Asymmetric Key Encryption (Public Key Encryption)

 

Symmetric Key Encryption işleminde şifrelemek ve şifrelemeyi çözmek için aynı anahtar kullanılır. Asimetrik şifrelemede ise mesajı şifrelemek için bir public key, şifreyi çözmek için ise bir private key kullanılır.

 

Private Key ve Public Key Kavramları

Şifreleme sürecinde kullanılan anahtar bilgisinin daha kontrollü olması için gönderen ve alanın private key’leri yerine gönderen ve alan için ayrı bir private key ve bir public key kavramı geliştirilmiştir. Buna Public Key ve Private Key sistemi denir.

 

Örneğin gönderen (sender) ve alıcı (receiver) arasında bir veri transferini örnekleyelim. Gönderen, alıcı kişinin public key’i ve kendisinin private key’i ile mesajı şifreler. Alıcı ise bu şifreyi çözmek için gönderenin public key’ini ve kendisinin private key’ini kullanır. Güvenlik açısından da yalnızca public key’i bilmek verileri açmaya yetmez.

 

PKI (Public Key Infrastructure)

Public key şifrelemesinde veriler şifrelenerek güvenlik sağlanır. Public key’ler serbest bir şekilde gönderildiği için, birbirini tanımayan kişiler kendi public key’leriyle public network üzerinde iletişim kurabilirler.

 

 

PKI iki temel alanda kullanılır:

 

• Public Key Encryption

• Public Key Authentication

 

Public Key Encryption: Public key şifreleme matematik olarak ilişkili olan iki key kullanır. Bu key rastgele bir sayıdır.

 

• Bir private key (Gizli saklanır)

• Bir public key (Olası alıcılara serbestçe dağıtılır)

 

Şifreleme işleminin amacı verileri gizleme (anlaşılmaz hale getirme) ve yalnızca istenen kişiler tarafından okunmasını sağlamaktır. Tipik bir senaryoda gönderen alıcının public key’ini kullanarak mesajı şifreler. Ve yalnızca alıcı mesajı çözecek ilgili private key’e sahip olduğu için mesajı okur.

 

PKI-tabanlı programlarda key’lerin kullanımıyla sağlanan veri şifreleme genellikle kullanıcıya görünmez. Bu tür işlemler transparent olarak tanımlanır.

 

Public Key Authentication: Public key authentication, public key cryptography ile kimlik denetimi (authentication) işlemlerinin yapılmasını kapsar. Kimlik doğrulama veriyi göndereni doğrular. Public key encryption gibi public key authentication işleminde de bir key çifti kullanılır. Ancak, mesajı çözmek için gönderenin private key’i yerine, gönderenin public key’i kullanılarak mesajı gönderenin kimliği doğrulanır.

 

 

PKI uygulamalarında her kullanıcının biri özel diğeri genel olmak üzere iki anahtarı bulunur. Kullanıcının genel anahtarı herkese açık olup, özel anahtarı yalnız kullanıcının kendisi (kullanıcı uygulaması) tarafından bilinir. Özel ve genel (public) anahtar arasında çözülmesi pratikte olanaksız olan matematiksel bir ilişki vardır. Bu durumda kullanıcının genel anahtarı ile şifrelenen bir mesaj, o kullanıcının özel anahtarı ile çözülebilir. Bu nedenle bir kullanıcıya şifreli bir mesaj göndermek istendiğinde mesaj bu kullanıcının genel anahtarı ile şifrelenebilir ve böylece mesaj gerçek alıcısı dışında kimse tarafından deşifre edilemez.

 

Çok sayıda uygulama PKI teknolojisinden yararlanır:

 

  • Sayısal imza.
  • Smart card logon.
  • Güvenli mail.
  • Kod imzalama.
  • IPSec
  • Internet’te kimlik denetimi-SSL
  • EFS

Bu makalemizde hem PKI'dan bahsettik hem de bir sonraki makalemizde anlatacak olduğum Sertifikalar konusunun temellerini atmış olduk. Umaraım yararlı olmuştur.

Yazar ceyhun çamlı \\ tags: , , , ,

Şub 25

Fail2ban ile Linux Sistemlerini Koruma

Security Yorum Yok »

Linux işletim sistemleri  ekonomik ve teknik nedenlerden dolayı sunucu (server) pazarında oldukca büyük rağbet görmektedir. Bu durum bilgisayar korsanlarının Linux işletim sistemlerinde yer alan programlar için özel atak metodları geliştirmesine yol açmaktadir.

Bu nedenle Linux makinelerininde atak engelleyici güvenlik programları büyük önem arz etmektedir.

Linux servis sağlayıcılarında SSH servisi, web servisi, mail servisi, FTP servisi gibi çeşitli programlar çalışmaktadır. Tüm bu programların log dosyalarını analiz edip bilgisayar korsanlarına karşı önlem almak oldukça zaman alıcı ve zordur.

Fakat Fail2ban sistem yöneticilerinin hayatını kolaylaştırmaktadır. Fail2ban  /var/log/pwdfail ya da /var/log/apache/error_log  gibi log dosyalarını taramakta ve eğer olağan dışı fazla hatalı şifre girişi varsa, giriş yapılan IP’yi  cezalandırmaktadır. Fail2ban güvenlik duvar kurallarını  atağın geldiği IP adreslerini engelleyecek şekilde yeniler.

Bu  makalede SSH servisinin özelinde Fail2ban’ın Linux makinelerini bilgisayar korsanlarından nasıl koruduğunu inceleyeceğiz.

SSH(Güvenli Kabuk-Secure Shell)

Tüm Linux sunucularında SSH servisi bulunmaktadir. SSH servisi ile İnternet üzerinden herhangi bir Linux makinesine bağlanılabilir, komut satırıyla makine üzerinde istenilen işlemler gerçekleştirilebilir.

SSH’ın cazip yanı tüm iletişimin kriptolanmiş olmasında yatmaktadır. Bu protokolün açık anahtarlı şifrelemeyi (public/private key encryption) desteklemesi populerliğini daha da artırmaktadır.

SSH’ın varsayılan port numarası 22’dir. Bu değer /etc/ssh/sshd_config dosyasindan değiştirilebilir. Fakat çoğu sistem yöneticisinin bunu değiştirmediği ne yazık ki bir gerçektir. Üstelik root kullanıcısının SSH bağlantısı da çoğu sistemde engellenmemiştir.

Görüleceği üzere bilgisayar korsanının yapması gereken işlem port 22'ye root kullanıcı adını kullanarak sözlük atağıyla (dictionary attack)   farklı şifreleri deneyip saldırmaktan ibarettir. Çoğu zaman bilgisayar korsanı ele geçirilmiş makineler ile saldırdığından izinin bulunması hayli güçleşmektedir. Bu durumda atağı önleyip, cezanın otomatik olarak sizin makineniz tarafından verilmesi büyük bir önem kazanmaktadır.

Neden Fail2ban?

Fail2ban harici başka programlarda log dosyalarını analiz edip hücum eden  makineleri yasaklayabilir. Fakat Fail2ban’ın bu programlar arasından aşağıdaki tüm özelliklere sahip olması ile sıyrılabilmektedir.

·         İstemci/sunucu

·         Multithreaded

·         Tarih/zaman dilimini otomatik tanıma

·         Logpath opsiyonunda wildcard desteği

·         Çoklu servis desteği (sshd, apache, qmail, proftpd, sasl)

·         Birçok önlem alma şekli (iptables, tcp-wrapper, shorewall, e-mail ile bildirim, etc)

Kurulum

Kurulum  Ubuntu 8.10 işletim sistemi ile gerçekleştirilmiş olmakla beraber diğer Linux versiyonlarındaki kurulum aşamaları oldukça benzerdir.

Aşağıdaki komut fail2ban programını kuracaktir.

sudo apt-get install fail2ban

Şimdi sıra gerekli konfigurasyonları yapmakta. Konfigurasyon dosyları /etc/fail2ban klasörünün altında bulunmaktadır.

Jail.conf dosyasına bir göz atalım. Burada geliştiricinin uyarısını dikkate alıp bu dosyayı değiştirmeyelim. Bunun yerine tüm değişiklikleri /etc/fail2ban/jail.local dosyasında yapalım.

Bunun için jail.conf  dosyasını aşağıdaki komut ile jail.local dosyasına taşıyalım:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Ayarlar

Eğer jail.local dosyasına bakarsanız bir çok opsiyon görürsünüz. Bu opsiyonları birer birer ele alalim:

enabled

Bölümün aktif edilip edilmediğini tanımlar. Olası değerler 'true' or 'false'.

Filter

Hapis (jail) tarafından eşleşmeleri bulmak için kullanılan filtrenin (filter) ismi.

Bu ‘/etc/fail2ban/filter.d’ klasöründe var olan dosya ismine denk gelir. ( .conf uzantisiz)

Örnegin ‘filter=sshd’ /etc/fail2ban/filter.d/sshd.conf' dosyasına karşılık gelir.

action

Filtremiz bir eşitliği yakaladığı vakit hangi etkinliği yapacağını belirtir.

logpath

Filtremizin hangi log dosyasına bakacağını tanımlar.

ignoreip

Bu opsiyon ayarlandığında ne kadar başarısız login girişimi olursa olsun bunlar yok sayılıp IP'ye ceza kesilmiyecek yani ban’lanmıyacaktır.

maxretry

IP'ye ceza kesimi için ne kadar hatalı giriş yapma hakkı olduğunu belirler. Eğer bu sayıyı 5'e ayarlarsanız altıncı başarısız login girişiminde bulunan IP'ler cezalandırılacak yani bloklanacaktır.

bantime

IP'nin kaç saniye bloke kalacağını belirler.

destmail

Bu opsiyon her hangi bir bloklanma olayında kime e-posta gönderileceğini belirler.

banaction

Bu değişken ile IP hakkında ne türlü bir ceza kesimi olacağına karar verilir.

Bu opsiyon,  '/etc/fail2ban/action.d' klasöründe yer alan dosyanın '.conf' uzantısız halini tanımlar. Örnegin, 'action = iptables-allports', '/etc/fail2ban/action.d/iptables-allports.conf' dosyasına karşılık gelir.

Protocol

Standart olarak engellenecek protokoller varsa burada belirtilir.

Vereceğimiz örnekte, fail2ban’in saldırgan makinelerin IP’lerini bloke edip bilgi@example.com Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır adresine whois raporunu içeren e-posta göndermesini sağlıyacağız.

Bu IP adresinin 5 dakikalığına bloke edilmesini istemekteyiz:

[DEFAULT]

 

bantime  = 600

destemail = bilgi@example.com Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

action = %(action_mw1)s

 

[ssh]


enabled = true

port    = ssh

filter  = sshd

logpath  = /var/log/auth.log

maxretry = 5

Şimdi fail2ban programını yeniden başlatalım:

sudo /etc/init.d/fail2ban restart

Başlangıçta jail.conf adlı dosyada sadece ssh bölümü aktif edilmiştir.

Bu fail2ban programının yalnızca  /var/log/auth.log dosyasına bakıp saldırgan IP’leri bloke edecek anlamına gelmektedir. Eğer web, mail, dns ya da ftp sunucularına saldıran IP’leri de engellemek istiyorsak, ‘enabled’ değerini o bölümler için de ayarlamamız ve gerekli filtreleri aktif hale getirmemiz lazımdır.

Test

Hazırladığımız test ortamında iki tane makine mevcuttur: Saldırgan makine ve bizim sunucumuz

Saldırgan makinenin IP’si: 123.45.67.89

Sunucumuzun IP’si: 98.76.54.32

Yönetici e-posta adresi: bilgi@example.com Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

Saldırgan makineden 5 tane başarısız login girişimi yaptıktan sonar e-postamızı kontrol edelim:

From fail2ban@ITSecurity  Thu Jul 16 04:59:24 2009

Subject: [Fail2Ban] ssh: banned 123.45.67.89

Hi,

The ip 123.45.67.89 has just been banned by Fail2Ban after

5 attempts against ssh.

Here are more information about 123.45.67.89:

{whois info}

Lines containing IP:123.45.67.89 in /var/log/auth.log

Jul 16 04:59:16 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2

Jul 16 04:59:18 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2

Jul 16 04:59:20 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2

Jul 16 04:59:21 example.comsshd[10394]: reverse mapping checking getaddrinfo for 123.45.67.89.example.com [123.45.67.89] failed – POSSIBLE BREAK-IN ATTEMPT!

Jul 16 04:59:22 example.com sshd[10394]: Failed password for root from 123.45.67.89 port 46024 ssh2

Regards,

Fail2Ban

Burada fail2ban bize engellediği IP’yi whois bilgisiyle beraber göndermiştir. Whois bilgisi saldırgan kullanıcıyı organizasyona ihbar etmemiz bakımından oldukça önemlidir. Çoğu şirket gerekli yaptırımları uygulamakta ve kullanıcıyı uyarmaktadir.

Sonuç

Fail2ban, Linux sistemleri daha güvenli hale getiren oldukça iyi bir programdir. Bu teknik yazıda fail2ban programını kendi ihtiyaçlarımız doğrultusunda nasıl kurabileceğimizi ögrendik. Fail2ban, saldırgan IP'leri bloke edebilir ve whois bilgisini e-posta yoluyla bize ulaştırabilir. Böylelikle saldırganı kendi ISP şirketine şikayet edebilir ve  böylelikle gelecekte aynı IP’den gelebilecek olası atakların önüne geçebiliriz.

İsmail Güneydaş

http://www.bilgiguvenligi.gov.tr/linux-guvenligi/fail2ban-ile-linux-sistemlerini-koruma.html

Yazar ceyhun çamlı \\ tags: , , , , , , , , ,