Kullanıcı kimlik doğrulama işlemi

Kimlik doğrulaması kişilerin içeride olması ve kötü niyetli kişilerin ise dışarıda olmasını gerektiren bir kavramdır.Bu durum Ağ girişin en önemli kısmıdır.

PKI

KERBEROS

AAA

*RADIUS,TACACS

Ağ erişim kontrolü 802.1x

CHAP

MS-CHAP

EAP

Bunların hepsine birlikte göz atmalıyız.

Bunun için öncelikle kullanıcı doğrulamasından başlamalıyız ve ağ üzerinden nelerin çalışmasını istediğimize göz atmalıyız.

Genel olarak bir çok kimlik doğrulaması istese bile çok az kısım kimlik doğrulamasına önem veriyor

Kimlik doğrulaması bir çok erişimin çalışacağı bir ortam düşünürsek bir çok kısımdan geçerek onay vermektedir.

Biraz daha açmak gerekirse

Kullanıcı adı , şifreler ,token imza oluşturucu verile biliyor.

paypal düşündüğünüz zaman kullanıcı adı ve şifreniz ardından imzanızı girmeniz istene biliyor.Bunun için hepsini birlikte doğrulayıp onay butonuna basmanız gerekiyor.İmza oluşturucuların şifresi ise 25,30 saniye içerisinde değişe biliyor buda bu doğrultmanın sadece o kişi olduğunu anlıyor bu durumda o kişi sadece siz oluyorsunuz.Kaybettiğiniz anda ise erişim sağlayamayacaksınız demektir.

Buna örnek olarak parmak doğrulamasını da ekleye biliriz.

Bunlar sadece örneklemedir fakat bir çok doğrulama sistemi vardır ki bunların hepsi farklı bir kripto ile çalışmaktadır.

Tabii ki yazıda o kadarda ileri gitmeyeceğiniz.Genel olarak dışarıdan gözlemlemek gerekiyor yinede merak ediyorsanız  kriptonun içerisinde ayrı bir bilim ayrı bir matematik vardır.

Kriptografi de olan bir karma fonksiyonu vardır,görünen ardında karmaşık bir şekilde çalışmaktadır ve tek yönlüdür.Bunu değiştiremezsiniz.

iki tane kripto algoritmasına bakalım

MD5

SHA

Örnek vermek gerekirse : password111 şifresi şifrelenmiş hali “db3fc4 vs gibi devam eder.” Çözmek için geriye yönelik gitmek gerekiyor.

Kimlik doğrulamasın da Clint , server arasında şunlar gerçekleşmektedir.

Server a şu soruyu soruyoruz ; server üzerinde olan bir kaynağa erişmeme izin ver, Server ise bana şunu söylüyor tamam ! fakat burda bir kimlik doğrulaması yapmam gerekiyor.

username : ersoy

şifre : password111

girildiği taktirde bu şekilde karşı tarafa gitmeyecektir , eğer gitmiş olursa paket dinlemesinde bu durum ortaya açık şekilde ortaya çıkacaktır.Bunun için şifre MD5 karmasını yapıyor  ve karmayı geri gönderiyor.server ise bu şifrelenmiş dosyayı alıyor ve kendi içerisind eolan karma ile kontrol ederek doğru olup olmadığına bakarak işleme onay yada red veriyor. Makinalar bizlerin ne yazdığını bilmez sadece karmayı kontrol ederler. Bizler bu karmayı değiştire biliriz şöyle düşüne bilirsiniz kimlik doğrulamasın da sizlere biz telefon geldiğini düşünün!

• lütfen şifrenizi giriniz ?

-sizlerde şöyle bir soru sora bilirsiniz benim şifrem neydi ? Server bunu bilmez o sadece sizin karmanızı bile biliyor

CHAP

MS-CHAP

Temel parçası dır.

CHAP, MS-CHAP Kimlik doğrulama mesaj protokolleri. bu bir kullanıcı adı ve şifreyi vermeniz gereken bir uygulamadır.

Burada karma formunda bir yanıt vardır ve daha sonra mach için ise  bir kontrol vardır.

Kimlik doğrulama değiştirme uygulaması gelişmektedir.Microsoft buna bazı gerekli gördüğü uygulamaları entegre etmiştir.

Microsoft bazı güvenlik önlemlerini de almıştır yani sizlere kullanmanız için CHAP mı kullanacaksınız yoksa MS-CHAP mı kullanacaksınız diye soracaktır.

Fakat biz bu iki yolu da güvenli bulmuyoruz.

Çünkü iki işlemde de bir kişi ortada buluna bilir buda bu karmaların görünmesine sebep olmaktadır.

Bizler bunun için daha güvenli bir protokol olan  EAP inceliyor olacağız.

Bu kimlik doğrulamasın da hangi sini kullanmamız gerektiğini bizlere sunacaktır.

TTLS,MD5,PEAP,TLS,MSCHAP,LEAP,GTC

Bir çok yöntemi olduğu için birçok yerde karşılaşmanız mümkündür bu arada EAP yerine MS-CHAP kullanıla bilir, md5 vs gbi birçok şey tercih edile bilir fakat yaklaşık olarak 40 dan fazla yöntem vardır.

Bunları kimlik doğrulama yöntemini yapılandırırken göre biliriz.

Point-to- point , wriless,Lan,etc

Bir çok fazla ağ yapılandırmasında göre bilirsiniz özellikle kablosuz ağlarda. Kablolu ağda göre bilirsiniz.

Her ne kadar kimlik doğrulama işlemi olsa da birileri kimlik doğrulamaya sahip yani karmaya sahip ise bunlar yeterli kaynaklara sahip ise sistemi tehlikeye düşüre bilecektir.

Bir karmaya sahipseniz onu o karmaya denk düşüre bilmek için deneme yapa bilirsiniz. Buna örnek olarak brute force saldırısını örnek vere biliriz neden eşleştirme yapana kadar devam etmektedir. Fakat bu durum çok uzun süre bilir.

Bunun için kişileri aynı odada rast gele topladığınız zaman bazı kişilerin aynı doğum gününe sahip olduğunu göre bilirsiniz gerçekten inanılmaz bir olay öyle ise asla karmanın eşleşmeyeceğini düşünmeyin mutlaka bir yolu bir şekilde bulunacaktır asla bulunmaz demeyin.

Biz bunu korumak için karmayı korumamız gerekecektir.

Bizler karmamızı ağ üzerinden göndermek istemiyoruz neden çünkü ağ üzerinden elde ediliyor daha öncede belirttiğimiz gibi.

Şimdi bir kaç anahtar oluştura bilirim ve bunlar kriptografik olarak bağlanır ve bunları sonra bir birlerinden ayıra biliriz benim şimdi bir açık anahtarım var birde özel anahtarım var.Açık anahtar herkese bildireceğim bir anahtardır.Birisine birşey gönderdiğim an ise bunu bana bu anahtar ile gönderip şifrele ve ben bunu daha sonra okuyacağım ve kendi özel anahtar ile bu verinin anahtarını çöze bilirim.Bunda önemli olan ise özel anahtarın kimseye ulaşmamasını sağlamkatır özel anahtar başka birilerinde var ise bu verileriniz başkaları tarafından okunacaktır.

Bu olay asimetrik bir anahtar dediğimiz olaydır.

Eğer çok fazla şifreleme yapıyorsanız Bu çok önemlidir PKI olarak duymanız mümkündür.

PKI : Anahtarı oluşturmak , dağıtmak ,İptal etmek için bir yoldur. Bu çok basit olay değildir ve farklı teknolojilere ihtiyaç duyulur bir çok sorun ile karşılaşa bilirsiniz.

Diğer tüm parçaları topladığımız anda ise birilerine güvenmek zorundayız size açık anahtarı veren kişiye.

Bir çok tehlikeyle uğraşmak ise insan yani kişiye aittir.

En son teknolojilerden yararlanan bazı kimlik doğrulamasından yararlanan bütünleştiren oldukça yaygın olan bu kimlik doğrulama sistemi yani KERBEROS dur. Açık ağ kimlik doğrulama sistemi kullanmaktadır.Açık olduğundan dolayı bir çok işletim sistemi bunu kullana bilir.

Windows,MacOs,Solaris,FreeBSD,Linux

Bu kaynaklara erişim sağlamak amacı ile insanların kimlik doğrulaması yapması için oldukça yaygın bir yöntemdir..Bu açık anahtarı kullanarak asimetrik anahtar metodolojisi den yararlanılır. O halde bu karmaların açık sekil de  gönderilmesini zaten geçtik ve bunun yerine çok daha iyi çalışan veriyi şifreliyorsunuz.

KERBEROS Hakkında insanlar genel olarak bilet hakkında konuşurlar bu kimlik doğrulama server dır. Ağ erişimi sağlayan ve onaylayan bir bilet server u dır.

Bu gerçekten şirketler için tasarlanmıştır.Çünkü zaten olması gereken bir sistemin bazıları hazır haldedir.(alt yapı).

Kerberos işlemini çalıştıran merkezi sistemler (server) bulunur ve burada merkezileşmiş server tüm bu gizli anahtarlara sahiptir. Bunun için ise server ı kaybederseniz mutlaka bir yerde yedeklenmesi iyi olacak.

Gizli anahtarların olma sebebi ise kimlik doğrulaması içindir olmaz ise kimlik doğrulaması yapamayacaktır. O halde bu server ın çok büyük bir yer olduğu kaçınılmazdır.

Kimlik doğrlaması için using A ve ya AAA yöntemidir.

AAA: Authentication,Authorization ve Accounting burada yapacağımız şey kimin olabileceğini tanımlaya bileceğimiz bir merkezileşmiş server da bunlara erişime ihtiyaç duydukları şey için erişim sağlandığından emin olmak ve şunları yaptığından emin olmak , takip etmek,giriş yaptıklarını bilmek,çıkış yaptıkları bilmek ve neler olduğuna dahil izini süre bilmek AAA oldukça yaygın şekilde ortamlarda bulunmaktadır.

Using AAA Başka birisinin kimlik doğrulamasına ihtiyaç var ise bu olay sizin için geçerli olacaktır. daha küçük ortamlarda da göre bilirsiniz.bu ne kadar kimlik doğrulamasına ihtiyacçduyduğunuz kadardır.

Eğer AAA kullanmak istiyorsanız bilinen bazı metodolojileri kullanmak gerekiyor  RADIUS bir çok işletim sistemi bunu kullana bilmektedir.Eğer yapılandırmak amacı ile swich e gidiyorsanız bu kimlik doğrulaması için RADIUS kullana bilir. Bir güvenlik duvarına giriş bir swich e giriş bir uzaktan erişime giriş farklıdır. RADIUS oldukça yaygındır. Zaten sahip olduğunuz metodoloji de bütünleşmemiş bir şey var ise işleri kolaylaştırır.RADIUS insanlara kimlik doğrulamasını yapmasına izin veren küçük bir kanca verir bunu aynı referansları kullanarak verir ağda olan kullanıcılar ile birlikte.

Bir diğeri ise CİSCO Tarafından oluşturulan TACACS dir

Alt yapılara erişim sağlamak routerlara erişim sağlamak ve swichlere erişim sağlamak amacındadır.Bunu sadece Cisco ya ait yerlerde göre bilirsiniz.Ama Radıus u daha fazla bula bilirsiniz.TACACS Biraz daha işlevseldir.

Bazı ortamlarda ikisine birden sahip ola bilirsiniz. İkisi de aynı zamanda çalışa bilir.

Örnek vermek gerekirse ikisini de kullandığınız bir kimlik doğrulama yeri düşünün bunu şunu demeniz gerekir sadece bize bağlı olan kişilere izin ver ( erişim noktasına )

Buna örnek olarak IEEE802.1X Network acces control Bu bizlere erişim veren kimlik doğrulama yöntemidir.

Yani dosyalara erişim sağlayamayacağım,yazıcıya vs erişim yok.Sadece Ağda erişim vardır.

Örnek Kablosuz ağ. ( kablosuz ağ üzerinde kontrol yoktur. )

Kimlik doğrulaması için bazı yöntemlere sahip olunması gerekir EAP ağ üzerinde kimlik doğrulaması için örnektir. bu genelde radıus a karşı doğrulama yapar,TACACS a karşı yapar.Böylece kullanıcı adı ve şifreye ihtiyaç vardır sadece ve windows referansınız kullanarak kimlik doğrulaması yapa bilirsiniz.Yazıcınıza veya diğer şeylere ulaşmak için kullanıcı kimlik doğrulaması yapmalısınız.

Şimdi belirli bir kaç soru ile olayı özetleyelim.

En yaygın kimlik doğrulama sistemi nedir ?

EAP

Ağda kimlik doğrulaması için ne kullanılır

IEEE 802.1X

Açık anahtar plan ve prosedürlerinin yasal takımı nedir ?

PKI