BİLGİ GÜVENLİĞİ « Kimlik Doğrulama ve Yetkilendirme » Yrd. Doç. Malik YILMAZ Oğuz ŞENER...
description
Transcript of BİLGİ GÜVENLİĞİ « Kimlik Doğrulama ve Yetkilendirme » Yrd. Doç. Malik YILMAZ Oğuz ŞENER...
BİLGİ GÜVENLİĞİ
«Kimlik Doğrulama ve Yetkilendirme»
Yrd. Doç. Malik YILMAZ
Oğuz ŞENER100217002
Bilgi, insanın ilk varoluşundan itibaren elde edilmeye, kullanılmaya ve
üretilmeye çalışılan bir ihtiyaç olarak bilinmektedir.
Türü ne olursa olsun bilgi, insan yaşamını kolaylaştırmak ve hızlandırmak
gayesiyle üretilmiştir.
Gelişen teknolojiyle paralel bir şekilde artan ve büyüyen bilginin de önemi
hızlanmakta ve dünyanın en önemli ihtiyacı olarak güç kazanmaya devam
etmektedir.
Bu denli önemli olan bilginin korunabilirliği hususu ise bilginin güvenliği
için bir takım çalışmalara gereksinim duyulmasına yol açmıştır.
Bilgi güvenliğini, bilginin bir varlık olarak hasarlardan korunması olarak
tanımlayabiliriz.
Bilgiyle birlikte ortaya çıkan bir çok politikalardan olan kimlik doğrulama ve
yetkilendirme politikalarına açıklık getirmeye çalışacağız.
Kimlik Doğrulama(Authentication)
Sistemi kullanmak isteyen kimliğin bilgilerinin, sistemde tutulan
kimlik bilgileri ile doğrulanmasıdır.
Tümleşik Oturum(Single Sign-On, SSO)
Kimlik doğrulama işleminin, ekosistem dahilindeki bütün
uygulamalar için merkezileştirilmesi olarak tanımlanabilir.
Kimlik Yönetim Sistemi(Identity Management System)
Kaynakların, kimlik bilgilerinin saklandığı dizinlerin , kimlik
yetki atamalarının yönetimini sağlayan sistemdir.
Kimliklendirme, Doğrulama, Yetkilendirme
• Kim Giriş İstiyor, Kimliği Doğrumu, Yetkileri Neler ?
• Kimliklendirme; kullanıcının sistemlerde bir kimliğe sahip olması
sürecidir.
•Doğrulama; kullanıcı kimliğinin sistemlerdeki geçerliliğinin
doğrulanması sürecidir.
•Yetkilendirme; kullanıcının geçerliliği doğrulanan kimliğinde
sahip olduğu yetkilerin kullanıcıya atanması sürecidir.
Doğrulama
• Yöntemler
– Kullanıcı Adı / Şifre
– Tek Kullanımlık Şifre Cihazları
– Akıllı Kartlar
– Manyetik Kartlar
– Sertifikalar
– Biyometrik Sistemler
• Çok Faktörlü Doğrulama
– Bildiğiniz Şey (Şifre, Pin)
– Sahip Olduğunuz Şey (Sertifika, Akıllı Kart, OTP Cihazları)
– Olduğunuz Şey (Biyometrik Sistemler)
Doğrulama Yöntemleri
• Şifreler
– Düz Şifre, Şifre Karmaşıklığı, Şifre Politikaları
• Ardışık Sorularla Doğrulama
• Tek Seferlik Şifre Cihazları
– Senkron (eş zaman-eşgüdüm)
– Asenkron
• Biyometrik Sistemler
– Parmak izi, El geometrisi, Avuç içi, İris, Retina, Ses, Klavye
Hareketi
– Kullanıcıların Kabulü, Yaş, Cinsiyet, Fiziksel Engeller
Merkezi Doğrulama
• Sorun : Çok sayıda kullanıcı, çok sayıda kullanıcı hesabı, birçok
şifre, çok sayıda sistem ve ağ servisi
• Merkezi doğrulama, tek bir sistemde kullanıcı kimliklerinin
bulunması, ağ ve sistem servislerinin doğrulamayı bu sistem
üzerinden yapması sürecidir.
• Kullanıcı sadece merkezi doğrulama sunucusuna giriş yapar, istekte
bulunduğu sistem ve ağ servisleri kullanıcının geçerliliğini merkezi
doğrulama sistemine sormaktadır.
• Kerberos, SESAME, Krypto Knight (IBM) ve NetSP, Thin Client
ULAKBİM;
Kimlik Doğrulama
Kullanıcı adı + parola + diğer bilgilerin doğruluğu
Yetkilendirme
Servise erişim yetkisi kontrolü
olarak tanımlamaktadır…
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )
Dezavantajları
-Kullanıcı açısından parola yönetimi
-Yönetim ve bakım için harcanan işgücü
Avantajları
-Uygulaması kolay
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )
Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( Single Sign-On)
Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları
Tek Oturum Açma ( Single Sign-On)
• Avantajları– Kullanıcı bilgileri kurum içinde ( Kısmen )– Kullanıcılar açısından parola yönetimi kolay– Sistemci açısından kimlik yönetimi kolay– İşgücü ve maliyet düşük
• Dezavantajları– Tek bir TOA (SSO) sunucusu kullanmak– Uygulamadaki zorluklar
Akıllı Kart Destekli Web Kimlik Doğrulama ve Yetkilendirme Yazılımı
Web tabanlı uygulamalarda klasik kimlik doğrulama olarak bilinen
kullanıcı adı ve şifre kontrollü giriş yerine, daha güvenli olan akıllı kart
destekli kimlik doğrulaması sağlayan bir çözümdür. Klasik kimlik
doğrulama işleminde, giriş için kullanılan kullanıcı adı ve parola ikilisi
çoğunlukla statik ve kullanıcı dışındaki kişiler tarafından ele
geçirilebilecek bilgilerdir. Buna karşılık akıllı kart destekli kimlik
doğrulama işleminde, doğrulama bilgileri sürekli değişmekte ve
donanıma bağımlı hale getirilerek başkalarının erişimi
kısıtlanmaktadır.
E-imza Bilişim’in sunduğu ve java applet olarak yapılandırılan Akıllı
Kart Destekli Kimlik Doğrulama Kütüphanesi ile platformdan
bağımsız çalışabilme imkânı bulunmaktadır. Bir başka ifade ile
kurumun mevcut sisteminde var olan uygulamalarda herhangi bir
değişikliğe gerek yoktur. Kullanımı ve yönetimi kolay olan bu çözüm
sayesinde her türlü web tabanlı uygulama ve java tabanlı masaüstü
yazılım güvenli kimlik doğrulamalı hale getirilebilmektedir.
Kimlik Federasyonu Kavramı
• Kimlik Federasyonu ;– Belirli bir kural seti,– Teknik Standartlar,
altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar.
Böylece ; • Farklı altyapıların birlikte çalışabilmesi,• Altyapılar arası güvenin sağlanması,• Etki alanlarındaki servislerin ağ dışına da açılması,
gibi isteklere çözüm getirir.
ULAKAAI– ULAKNET içerisindeki kdy sistemlerinin birleşmesini,
– Elektronik kaynakların ve servislerin tüm etki alanıyla
paylaşılabilmesini,
sağlamak amacıyla kurulmuş kimlik federasyonudur.
ULAKAAI Kimlik Federasyonu ( Pilot )
ULAKAAI Kimlik Federasyonu
Federasyonsuz KDY
1) Erişebilir miyim?2) Yetkin Var mı????
3) Kullanıcı adı ve Parola Versem?Servis SağlayıcıKimlik Sağlayıcı
• Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor• Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip• Kurumların değerli bilgileri, servislere dağıtılıyor
Federasyonlu KDY
3) Yetkim Var mı?1) Erişebilir miyim?
2) Yetkin Var mı?
Servis SağlayıcıKimlik Sağlayıcı4) Kimlik Bilgileri ve Yetkileri
• Kullanıcı kimlik bilgileri kurum içerisinde kalıyor• Servis Sağlayıcı sadece ihtiyacın olanı biliyor• Dağıtılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor
Kimlik doğrulama ve yetkilendirme hususunda kurum ve kuruluşların genel
politikaları:
1. Bilgi sistemleri üzerinden gerçekleşen işlemler için uygun bir kimlik doğrulama
mekanizması kurulur. Hangi kimlik doğrulama tekniklerinin kullanılacağına, üst düzey
yönetim tarafından yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk
değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin
türü (tipi, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü
gibi), işleme konu verinin hassaslık derecesi ve kimlik doğrulama tekniğinin kullanım
kolaylığı da göz önünde bulundurularak gerçekleştirilir.
2. Uygulanacak kimlik doğrulama mekanizması, müşterilerin ve personelin bilgi
sistemlerine dâhil olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına
kadar geçecek tüm süreci kapsayacak şekilde tesis edilir. Kimlik doğrulama bilgisinin
oturumun basından sonuna kadar doğru olmasını garanti edecek gerekli önlemler
alınır.
3. Bilgi sistemlerine erişim için kullanılan kimlik doğrulama verilerinin tutulduğu
veri tabanlarının güvenliğini sağlamaya yönelik gerekli önlemler alınır. Bu amaçla
alınacak önlemler asgari olarak kimlik doğrulama verilerinin veri tabanlarında
şifreli olarak muhafaza edilmesi, yapılacak her türlü kontrolsüz değişikliği
algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve bu
denetim izlerinin güvenliğinin sağlanması hususlarını içerir. Ayrıca bu veriler
kimlik doğrulama amacıyla aktarılırken şifrelenir ve verilerin aktarımı sırasında
gizliliğinin sağlanmasına yönelik önlemler alınır.
4. Ayrıcalıklı yetkilere sahip kullanıcı ve sistem hesapları için ek denetim izleri
tutulur ve periyodik olarak gözden geçirilir.
5. Ayrıcalıklı yetkilere sahip kullanıcılar, yetkilerinin başka kişilerce kullanımının
önlenmesinin önemi konusunda yeterli düzeyde bilinçlendirilir.
6. Acil durumlar için, yetkili personele ulaşılamaması nedeniyle geçici olarak
gerçekleştirilen yetkilendirmelerde, bu yetkilendirme süresince gerçekleştirilecek
işlemlerin yeterli düzeyde takibine izin verecek şekilde detaylı denetim izlerinin
tutulması sağlanır.
7. Bilgi sistemleri alt yapısına yönelik yetkisiz fiziksel ve mantıksal erişimleri
engelleyecek kontroller ve gözetim süreçleri tesis edilir.
SORU VE ÖNERİLER ?
TEŞEKKÜRLER