AAA Güvenlik Konsepti « AGCIYIZ.NET

AGCIYIZ.NET Network Kontrol Altında

27Haz/100

AAA Güvenlik Konsepti

AAA Güvenlik Konsepti

Daha önceden Safa Kısıkçılar Layer 2 Güvenlik Yöntemleri (Bölüm 1) yazısında daha çok cisco cihazlar üzerindeki yapılandırma ve örneklerden bahsetmişti. Ben de bu yazımda Safa arkadaşımızın yazmış olduğu bu dökümandaki bazı terimleri biraz daha genişçe almak istedim.

Authentication (doğrulama), Authorization (yetkilendirme) ve Accounting (aktivite izlenmesi) kısaca AAA olarak bilinen ve ağ kaynaklarına güvenli erişimi sağlayan güvenlik unsurlarıdır. AAA servislerine ulaşabilmek için iki tip erişim metodu vardır:

  • Karakter modu: Yönlendiriciye, yönetim amaçlı gönderilen isteklerdir.
  • Paket modu: BaÅŸka bir aÄŸda bulunan cihaza eriÅŸim için gönderilen isteklerdir.

AAA güvenlik unsurlarına bankaların uyguladığı kredi kartı sistemi örnek olarak verilebilir. Bankanın kullanıcıya vermiş olduğu kartın üzerindeki kart numarası, ad, soyad ve son kullanma tarihi bilgileriyle doğrulama işlemi gerçekleştirilir. O kullanıcıya verilmiş olan harcama limiti ile yetkilendirme işlemi  yapılır. Nerede, ne zaman, ne kadar harcama yaptığının kayıt altına alınması ve sonucunda bir ekstre oluşturulması ile de kullanıcı aktivitelerinin izlenmesi işlemi yapılır.

Authentication (DoÄŸrulama):

Kullanıcının sisteme bağlanabilmesi için ilk başta yapılması gereken işleme authentication (doğrulama) denir. Ana bilgisayar, anahtarlayıcı veya yönlendirici kullanımı sırasında cihaz veya kullanıcının kimliğinin doğrulanma işlemidir. Bu işlem ile kullanıcının sahip olduğu kullanıcı adının sistemde kayıtlı olup olmadığı kontrol edilir. Daha sonra kullanıcıya verilen parola da kontrol edilerek doğrulama işlemi yapılır. Doğrulama sağlanırsa kullanıcıya sisteme giriş izni verilir. Sistem üzerinde açık bulunan her port ve servis göz önünde buludurularak sisteme anonim erişim verilebilir. Şifrelerin gerektiği kadar güvenli olabilmesi de uygulanmakta olan şifre politikasına bağlıdır.

Doğrulama işlemi iki şekilde yapılır:

  • Yerel AAA DoÄŸrulaması: Yönlendiricinin kendi veritabanınında bulunan kullanıcı adı ve ÅŸifreleriyle yapılır. Genellikle küçük aÄŸlarda uygulanır.
  • Sunucu-Tabanlı AAA DoÄŸrulaması: EÄŸer aÄŸda bulunan yönlendiricinin miktarı fazla ise sunucu-tabanlı AAA doÄŸrulaması uygulanır. Sistemde kullanılan kullanıcı adı ve ÅŸifreler bu sunucuda saklanır ve doÄŸrulama iÅŸlemi sunucuda yapılır.

Authorization (Yetkilendirme)

Kullanıcı adı ve şifre doğrulaması sağlanan kullanıcıların sisteme, programa veya ağa hangi yetkilerle erişim hakkına sahip olduklarını belirten sisteme authorization (yetkilendirme) denir. Sisteme kayıtlı olan kullanıcılar gruplanarak, bu gruplara çeşitli yetkiler verilir. Kullanıcı içerisinde bulunduğu grubun bütün yetkilerine sahiptir. Eğer bir kullanıcı birden fazla gruba üye ise bu gruplara verilen yetkilerin hepsine sahiptir. Güvenliğin tam olarak sağlanabilmesi için kullanıcılara gerekenden fazla yetki verilmemelidir. Yetkiler verilirken sistem üzerindeki açık her bağlantı noktası (port) göz önünde bulundurulmalıdır.

Accounting (Aktivite Ä°zlenmesi)

Bir sorun ile karşılaşıldığında sorunun tespitinin sağlanabilmesi için kullanılan sisteme accounting (aktivite izlenmesi) denir. Sistemde bulunan kullanıcıların yaptıkları bütün işlemler ve erişim saatleri kayıt altına alınır. Bir problem çıktığında ise kullanıcı aktivitelerinin tutulduğu bu kayıtlardan sorun anlaşılmaya ve çözülmeye çalışılır.

RADIUS

RADIUS, Remote Authentication Dial In User Service (Uzaktan Aramalı Kullanıcı Kimlik Kanıtlama Servisi) uzaktan ağa erişmek isteyen kullanıcıların kimlik denetimini gerçekleştirmek üzere IETF (Internet Engineering Task Force) tarafından standartlaştırılan bir protokoldür. İlk başta internet servis sağlayıcıları, ağını kullanmak isteyen kullanıcıların kullanıcı adı ve parola doğrulamasının sağlanması için kullanılmıştır. RADIUS iletim için UDP (User Datagram Protocol) kullanır. Bu protokol İnternet erişimi ve elektronik posta servisi erişimi yanında RAS (Remote Access Server- Uzak Erişim Sunucusu) ve VPN (Virtual Private Network - Sanal Özel Ağ) gibi sistemlerde sıklıkla kullanılır. Bu protokol ile kaynaklara güvenli erişim için gereken güvenlik unsurları yani doğrulama, yetkilendirme ve kullanıcı aktivitelerinin izlenmesi sağlanır. Bir istemci ağa erişmek istediğinde sunucu üzerinden ağa erişmek için RADIUS sunucusuna istek gönderir. RADIUS sunucusu 3 farklı biçimde bu isteğe cevap verebilir:

  • Access Reject (EriÅŸim reddi): Kullanıcı doÄŸrulama iÅŸlemi gerçekleÅŸtirilemez ve RADIUS sunucusu, kullanıcıya aÄŸ kaynaklarına eriÅŸemeyeceÄŸi konusunda bu cevabı gönderir.
  • Access Challange (EriÅŸim Kimlik Sorgusu): RADIUS sunucusu kullanıcıya aÄŸa eriÅŸebilmesi için ikinci bir ÅŸifre isteyen bir cevap gönderir.
  • Access Accept (EriÅŸim Kabulü): Kullanıcıların bilgileri doÄŸrulanır ve RADIUS sunucusu kullanıcının aÄŸa eriÅŸimine izin verir.

Bu protokolün örneklerinden biri de FreeRADIUS adına sahip açık kaynak kodlu ve günümüzde bütün kimlik yetkilendirme protokolleri ve veritabanlarını destekleyen bir yazılımdır. Bu yazılım ile yapılabilecek işlemler:

  • AÄŸa eriÅŸmek isteyen kiÅŸiler için doÄŸrulama iÅŸlemi yapılır.
  • AÄŸa eriÅŸebilen bütün kullanıcılar için ayrı ayrı yetkilendirme yapılabileceÄŸi gibi kullanıcılar gruplanıp, gruplara yetkiler verilebilir.
  • Sisteme o an içinde baÄŸlı olan kullanıcılar gözlemlenebilir.
  • Proxy kullanımını destekler.

Bu yazının pdf'ine buradan erişebilirsiniz.

Enver Enis Güngör
http://www.enisgungor.com

Bu yazıyı beğendiniz mi?

RSS Kaynağımıza abone olun!

Hakkında Enver Enis Güngör

Açıklama yok. Lütfen profilinizi tamamlayın.
Etiketler: , , , , , Yorum gönder.
Yorumlar (0) Geri izlemeler (0)

Yorum yapılmadı.


Yorum gönder.


Geri izleme yok.

« Cisco Switchlerde Storm Control Wi-Fi »

IP Adresim ne?

Agciyiz.NET Abone Formu





Eklenen yazılardan haberdar olabilmek için lütfen ilgili alanları doldurarak kayıt olunuz.

Rastgele Yazılar

Kategoriler

Son Yazılar

ArÅŸivler

Creative Commons Lisansý