Kerberos Yazı Dizisi - I
Sizlerden
gelen yoğun talep üzerine yeni bir yazı dizisine başlıyoruz. Bu yazı dizimizde,
Windows 2000 ve daha sonraki NT tabanlı Windows işletim sistemlerinin
güvenliğinin çekirdeğini oluşturan Kerberos'u mercek altına yatıracağız.
Kerberos,
Yunan Mitolojisinde; ölüler ülkesinin bekçisi, Typhon ile Ekhidna'nın oğludur.
Elli ya da yüz başlı bir köpekti. Fakat sanatçılar tarafından yalnızca üç
başlı, ejderha kuyruklu ve sırtında yılan başlarıyla canlandırılmıştır. Ölüler
onu Kharon'un parasıyla birlikte mezarlarına konulan ballı çöreklerle
sakinleştiriliyordu. Orpheus onu lir çalarak, Aineias ise Sibylla tarafından
hazırlanan pastayı atarak sakinleştirmişti. Yalnızca, Herakles, Kerberos'a
boyun eğdirmeyi başarmış, zincire vurduktan sonra Trezene'ye götürmüş, sonuçta
onu cehenneme geri göndermişti.
NT tabanlı Windows işletim sistemlerinin güvenliği açısından kerberos; kullanıcıların ya da istemcilerin kimliklerinin doğrulanmasında kullanılan bir kimlik denetleme mekanizmasıdır. Kerberos v5 kimlik denetleme protokolü Windows 2000'nin varsayılan kimlik denetleme protokolüdür. İnternet Protokol güvenliği(IPSec) ve QoS Giriş Kontrol(QoS Admission Control Service) Servisleri, kimlik denetimi için Kerberos'u kullanmaktadır.
Genel olarak 4 makalelik bir yazı dizisi altında ele alacağımız "Kerberos" için planan çerçeve aşağıdaki gibidir:
NT tabanlı Windows işletim sistemlerinin güvenliği açısından kerberos; kullanıcıların ya da istemcilerin kimliklerinin doğrulanmasında kullanılan bir kimlik denetleme mekanizmasıdır. Kerberos v5 kimlik denetleme protokolü Windows 2000'nin varsayılan kimlik denetleme protokolüdür. İnternet Protokol güvenliği(IPSec) ve QoS Giriş Kontrol(QoS Admission Control Service) Servisleri, kimlik denetimi için Kerberos'u kullanmaktadır.
Genel olarak 4 makalelik bir yazı dizisi altında ele alacağımız "Kerberos" için planan çerçeve aşağıdaki gibidir:
1.
Kerberos
Nedir? Tarihçesi ve Genel Bilgilendirme
2.
Kerberos'un
Alt Yapısı
3.
Kerberos'u
nasıl gerçekleyebiliriz ? (Basit örnek kodlarla açıklamalar)
4.
Kerberos
ne kadar güvenli ? ve Son Söz..
Her hafta yeni bir makale sizlerle olacaktır.
Önce sizlere yabancı gelebilecek ve yazı dizimizde çokça geçecek terimlerin açıklamalarını vermek istiyorum:
İnternet Protokol (Internet Protocol):
IP paketleri için TCP/IP seviyesinde IP adresleme, yönlendirme, büyük paketleri parçalara ayırma ve yeniden biraraya getirilmesinden sorumlu yönlendirilebilir bir protokoldür.
İnternet Protokol Güvenliği (Internet Protocol Security - IPSec):
Servislerin ve protokollerin şifreleme tabanlı olarak korunmasını sağlayan endüstriyel standartlar topluluğudur.
İnternet Protokol Güvenlik Politikası(Internet Protocol Security Policy):
İnternet Protokol Güvenliğini zorunlu kılarak, verinin korunmasında kullanılacak güvenlik servislerinin tanımlanmasını, İnternet Protokol Güvenliği Yönetiminin kimler için geçerli olacağını sağlayan güvenlik politasıdır.
Katman 2 Tünelleme Protokolü (Layer Two Tunneling Protocol - L2TP):
IP, X.25, Frame Relay, veya ATM ağları üzerinden gönderilecek PPP(Point-to-Point Protocol) çerçeveleri kapsülleyen bir tünelleme protokolüdür. L2TP, Cisco Sistem tarafından önerilen noktadan noktaya tünelleme protokolü(Point-to-Point Tunneling Protocol-PPTP) ve Katman 2 gönderme (Layer 2 Forwarding - L2F) birleşimi bir teknolojidir.
Kimlik denetimi (Authentication):
Kriptografinin basit bir fonksiyonudur. Ağ üzerinden haberleşen nesnelerin kimliklerinin doğrulanmasıdır. Bir ağ bağlantısı üzerinden uzaktan erişilmiş ve ya doğrudan konsoldan sistemden girmek isteyen kullanıcılarının kimliğinin kullanıcı adı ve şifre ile doğrulanmasıdır.
Kimlik Doğrulayıcı(Authenticator):
Bir grup tarafından sağlanan ve sadece gizli şifreyi bilen diğer bir grup tarafından kimlik denetimini sağlayan veri yapısıdır. Kerberos kimlik denetim protokolünde, Kimlik Doğrulayıcılar, replay saldırılarından korunmak için timestamp bilgisini içerirler. Bu bilgi Anahtar Dağıtım Merkezi (Key Distribution Center) tarafından sağlanan oturum anahtarı (session key) ile şifrelenmiştir.
NTLM Kimlik Denetim Protokolü (NTLM authentication protocol):
Kendini gösterme ve cevap verme kimlik denetim protokolüdür. NTLM kimlik denetim protokolü Windows NT 4.0 ve öncesinde kullanılan varsayılan ağ kimmlik denetim protokolüdür. Protokol Windows 2000 ve Windows XP ile desteklenmesine karşın varsayılan güvenlik sistemi olarak atanmamıştır. Bunun yerine Windows 2000 ve XP'de Kerberos v5 kullanılmıştır.
QoS Giriş Kontrol(Quality of Services Admission Control Service) Servisi:
Atandığı altağdaki ağ kaynaklarını ve bant genişliğini kontrol eden bir yazılımdır. Önemli uygulamalara daha çok bat genişliği ayrılmasını, daha az önemli uygulamalara da daha az bat genişliği verilmesini sağlar. Gerekli ağ yapılandırılması yapılmış Windows 2000 ve üstü işletim sistemlerinde kurulabilir.
Tünelleme (Tunneling):
Bir veri-bağı protokolü üzerinden iletiliyormuş gibi başka bir ağ protokolü üzerinden, noktadan noktaya açılan bir sanal devre ile protokol verisinin iletilmesidir. Örnek vermek gerekirse, Ethernet yerine, AppleTalk üzerinde TCP/IP çalıştırılması; Ethernet veya LocalTalk yerine AppleTalk'un DECNet üzerinde çalıştırılması vs.
Tarihçe
Kerberos, MIT' in Athena Projesinin bir parçası olarak geliştirilmiş bir kimlik denetim servisidir. Kullanıcı iş istasyonlarına açık dağıtık bir ortamda, ağ üzerinde bir sunucu tarafından sunulan servislerinin erişimlerin denetlenebilmesi problemine çözüm olarak önerilmiştir. Kerberostan beklenenleri sıralarsak;
- Sunucuların yetkili kullanıcıların
erişimlerini sınırlandırmalı,
- Ortamdaki servislerin kullanımı
için kimlik denetim mekanizması geliştirmeli,
- Ağ üzerindeki servislerinin
kullanımı için bir iş istasyonun kimlik denetimine güvenmemelidir.
(1) Bir kullanıcı, her hangi bir iş istasyonunda çalışan her hangi bir işletim sistemine erişim hakları elde edebilir,
(2) Bir kullanıcı iş istasyonun ağ adresini değiştirebilir; ağ adresine göre yapılandırılmış güvenlik sistemlerine kendisini yetkili biri olarak tanımlayabilir,
(3) Bir kullanıcı sunucu ile olan bağlantıları gizlice dinleyebilir ve replay saldırı uygulayarak sunucuya sızabilir ve ya sunucu gerçeklenen işlemleri izleyebilir.
Her iş istasyonunda bir kimlik denetleme mekanizması kurmak yerine(1), Kerberos merkezileştirilmiş bir kimlik denetim mekanizması önermektedir. Birden fazla sunucu kullanarak güvenlik katmanları oluşturmaktadır. Şu an kullanımda olan Kerberos'un iki versiyonu vardır. Versiyon 4 ve Versiyon 5. Kerberos, versiyon 4 ile bir İnternet Standartı (RFC 151C) haline gelmiştir. Versiyon 4 ile 5 arasında yapısal olarak çok fazla fark olmasa da, Versiyon 5'te; Versiyon 4'teki bazı muhtemel açıkların kapatılmıştır.
Son Söz
Windows 2000 ve daha sonraki NT tabanlı Windows işletim sistemlerinin güvenliğinin çekirdeğini oluşturan Kerberos'u inceledeğimiz, yazı dizimizin ilk yazısında Kerberos hakkında genel bilgilere, tarihçesine ve daha sonraki yazılarımızda bolca geçecek olan terimlere yer verdik. Bir hafta sonraki Kerberos Yazı Dizisinin ikinci yazısında görüşmek üzere...
Yazar : Yunus Emre ALPÖZEN
e-Posta : yemre@msakademik.net
Hiç yorum yok:
Yorum Gönder
isterseniz anonim seçeneginden kayıtsız gönderebilirsiniz iyi günler