A
B
C
Ç
D
E
F
G
Ğ
H
I
İ
J
K
L
M
N
O
P
R
S
Ş
T
U
Ü
V
Y
Z
Q
W
X
+ Ekle
Windows Server 2003’de Güvenlik

Windows Server 2003’de Güvenlik

Windows Server 2003"de Güvenlik

Windows Server 2003 ve Windows XP güçlü güvenlik özelliklerine sahip işletim sistemleridir. Güvenlik (security), içte, dışta, network üzerinde, serverlar üzerinde, uygulamalar üzerinde ya da daha farklı açılardan ele alınabilecek geniş bir konudur. Şifreleme ve PKI, temel güvenlik bileşenleri içinde yer alır. Bunun dışında network üzerindeki güvenliğin sağlanmasında da IPSEC protokolünün önemi büyüktür.

Şifreleme (Encryption) 

Internet gibi public (genel) networklerin yaşamımıza hızla girmesi, kişisel ve şirket verilerinin güvenliğini tehdit eder hale gelmiştir. İki şirket arasında gönderilen bilgi, iki kişi arasında gönderilen bir mesaj, aktarım sürecinde bir başka kişi tarafından görülebilir ya da değiştirilebilirse, kişiler ve kurumlar bundan zarar görürler.

Bu anlamda network üzerindeki verileri çok sayıda risk bekler:   Network monitoring: Network monitor network paketlerini izleyebilen bir uygulamadır (Microsoft Network Monitor). Paketler şifrelenmemişse, network izleme aracı paketin içeriğinin tümünü görüntüleyebilir. Data modification: Kötü niyetli bir kişi taşınan veriyi değiştirerek karşı tarafı aldatabilir. Password: Kötü niyetli bir kişi parolayı (password) çalabilir ve onu kullanarak sahibine zarar verebilir. Address spoofing: Kendisini başla birisinin yerine koymak. Örneğin birisinden gelen e-mail mesajının gerçekte o kişiden gelmemiş olmasını sağlamak. Man-in-the-middle: Bu saldırı türünde iletişin kuran iki insanın verileri izlenir. Denial-of-service: Bir servisin kullanımını engellemek. Örneğin mail kutularını doldurarak mail alınmasını engellemek.   Güvenliği sağlamak bakımından geniş kabul görmüş bir konu şifrelemedir. Şifreleme (encryption) verinin belli bir algoritma ile değiştirilerek içeriğini başkalarından gizlenmesidir. Bu süreçte; oluşturulan bir mesaj plaintext ya da cleartext olarak adlandırılır. Şifrelenmiş mesaj cipher text olarak adlandırılır. Şifrelenen mesajın açılması işlemine de decryption denir. Şifreleme, verilerin belli bir anahtar (key) değeriyle işlenmesiyle yapılır. Şifrelemede genellikle 56-bit ya da 128-bit uzunluğunda bir anahtar (key) değeri kullanılır. Veri bu anahtar bilgi ile belli bir matematiksel işlemlere sokularak değiştirilir, ardından hedefinde yeniden açılır.   Şifreleme konusunda dünyaca kabul görmüş standartlar vardır. (Data Encryption Standard – DES), 1970"lı kullarda geliştirilmiş bir 56-bitlik anahtar şifrelemesidir. Zamanla yetersiz kalan bu şifreleme standardını yerine daha gelişmiş şifreleme algoritmaları geliştirilmiştir.   Anahtar tabanlı şifrelemelerin yanı sıra bir de hash algoritması kullanılarak verilerin doğruluğu kontrol edilir. Hash, kimlik doğrulama (authentication) ve sayısal imza (digital signing) gibi birçok işlemde kullanılır   İyi bir hash algoritmasıyla giriş verilerindeki değişiklikler sonuç bitindeki bütün bitleri değiştirir. Bu nedenle hash sayesinde verilerin değiştirilip değiştirilmediği anlaşılır.   Tipik hash algoritmaları: MD2, MD4, MD5 ve SHA-1.   MD5 Message Digest 5 (MD5), RFC 1321 üzerine kuruludur. MD5, her turda farklı sabitler kullanarak veri blokları üzerinde dört tur geçer. MD5 hesaplamasında 32-bit sabitler kullanılır ve sonuç olarak 128-bit hash kullanılarak bütünlük kontrol edilir.  

SHA1

Secure Hash Algorithm 1 (SHA1) National Institute of Standards and Technology tarafından geliştirilmiştir. SHA, MD5"e yakın modellenmiş bir işlemdir. SHA1 hesaplaması 160-bit hash ile bütünlüğü kontrol ettiği için daha güvenlidir.

PKI (Public Key Infrastructure) 

Modern kriptografide bilginin şifreli biçimde güvenli hale getirilmesi için belli bir key değeriyle yapılır. Şifreleme doğru bir key ile yapılabilmektedir.

İki tür key tabanlı şifreleme vardır:   •           Symmetric Key Encryption •           Asymmetric Key Encryption (Public Key Encryption)   Symmetric Key Encryption işleminde şifrelemek ve şifrelemeyi çözmek için aynı key (secret key) anahtar kullanılır. Asimetrik şifrelemede ise mesajı şifrelemek için bir public key, şifreyi çözmek için ise bir private key kullanılır. Simetrik kriptografi sisteminin bir sorunu vardır. Gizli key değeri göndericiden alıcıya nasıl ulaştırılacak? Key değeri güvenli olarak gönderilebiliyorsa, bu güvenli yolla mesajın kendisi de gönderilebilir.   Private Key ve Public Key Kavramları Şifremele sürecinde kullanılan anahtar bilgisinin daha kontrollü olması için gönderen ve alanın private keyleri yerine gönderen ve alan için ayrı private key ve bir public key kavramı geliştirilmiştir. Buna Public Key ve Private Key sistemi denir.   Örneğin gönderen (sender) ve alıcı (receiver) arasında bir veri transferini örnekleyelim. Gönderen, göndereceği kişinin public keyi ve kendisinin private keyi ile mesajı şifreler. Alıcı ise bu şifreyi çözmek için gönderenin public keyini ve kendisinin private key ini kullanır.   Güvenlik açısından da yalnızca public keyi bilmek verileri açmaya yetmez. Ayrıca her iki tarafında private keylerinin aktarılması önlenmiş olur.   

PKI (Public Key Infrastructure)

Public key kriptografi verileri şifreleyerek güvenlik sağlamanın alt yapısını sağlar. Public keyler serbest bir şekilde gönderildiği için, birbirini tanımayan kişiler kendi public keyleriyle public network üzerinde iletişim kurabilirler.   Şirketlerin PKI kullanmalarını birçok nedeni vardır:   Güçlü güvenlik (Strong security): Smart kartlarla güçlü kimlik denetimi sağlanır. Public networklerde güvenli veri aktarımı için IPSec kullanılır. Ayrıca kaydedilen veriler EFS (encrypting file system) sistemiyle şifrelenir.   Kolay yönetim: Sertifikalar sayesinde parola kullanımı azaltılır.   PKI iki temel alanda kullanılır:   •           Public Key Encryption •           Public Key Authentication  

Public Key Encryption

Public key şifreleme matematik olarak ilişkili olan iki key kullanır. Bir key rastgele bir sayıdır.   public key encryption için her kullanıcı matematiksel olarak ilişkili bir çift key kullanır:   •           Bir private key (Gizli saklanır). •           Bir public key (Olası alıcılara serbestçe dağıtılır).   Şifreleme işleminin amacı verileri gizleme (anlaşılmaz hale getirme) ve yalnızca istenen kişiler tarafından okunmasını sağlamaktır. Tipik bir senaryoda gönderen (sender) alıcının public keyini kullanarak mesajı şifreler. Ve yalnızca alıcı ilgili mesajı çözecek ilgili private keye sahip olduğu için mesajı okur.   Şekil: PKI sistemi  

Windows Server 2003 Sertifika Servisleri

Bir sertifika bir otorite tarafından yayınlanan sayısal bir tanımlamadır. Sertifika bir public keyi, özel keye sahip olan bir kişiye, bilgisayara ya da servise bağlar.    Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; ve Windows Server 2003, Datacenter Edition"da sertifika yetkililerini (certification authorities (CA) yaratma ve yönetmek için Certificate Services bileşeni kullanılır.   Bir CA sertifikayı kullananın kimliğini belgelemek ya da oluşturmaktan sorumludur.   En basit PKI tasarımında bir root CA vardır. Bununla birlikte birçok organizasyonda sertifika hiyerarşisi içinde organize edilmiş çok sayıda CA kullanılır.   Sistem yöneticileri Certificate Services"lerini Certification Authority MMC konsoluyla yönetirler.  

Certification Authority

Certification authority (CA) şifrelem işleminde kullanılacak keyleri atar. CA keyleri sertifika kullanarak dağıtır. Bir CA sertifikaları bilgisayar, kullanıcı ya da bir servis için dağıtabilir.  

External ve Internal CA

Bir CA external ya da internal olabilir. Örneğin ticari bir CA tarafından dağıtılan sertifikalar milyonlarca kişiye dağıtılabilir. Bunun aksine CA"lar internal da olabilir. Örneğin şirket içindeki bir bölüm, kendi sertifikaları doğrulamak ve dağıtmak için bir server kurabilir.   Sertifikaları dağıtma süreci: 1.  CA sertifika isteğini kabul eder. 2.  CA istekte bulunanın bilgilerini kontrol eder. 3.  CA sertifikaya sayısal imze uygulama için kendi private key değerini kullanır. 4.  CA sertifikaları bir PKI içindeki güvenlik hakkı olarak kullanılır.

A. Sertifika Servisini Kurmak

Control Panel, Add or Remove Programs ile Certificate Services kurulumu yapılır. Kurulum sırasında CA type, tanıtıcı bilgiler, sertifika veritabanı bilgileri düzenlenir.   NOT: Sertifika servislerini kurmak için IIS güncellenir. Sertifika servisleri kurulduktan sonra bilgisayarın adı değiştirilemez, domain katılamaz ya da çıkamaz. Bu işlemlerden herhangi birisi yapıldığında Certificate Services bilgisayardan kaldırılmalıdır.   CA Type Seçeneği CA türlerinden birisi seçilir:   •           enterprise root CA, •           enterprise subordinate CA, •           stand-alone root CA, •           stand-alone subordinate CA.

IPSec (Internet Protocol Security)

IPSec, private networkleri içerinden ve dışarından gelen ataklara karşı korumak için kullanılan bir tekniktir.   IPSec"in iki amacı vardır:   •           IP paketlerinin içeriğini korumak. •           Network ataklarına karşı, paket filtreleme ve güvenli iletişimi zorlayarak savunma sağlamak.    Her iki amaç da cryptography-tabanlı korumayla sağlanır.   IPSec, şu senaryolar içinde kullanılır:    •           Local area network (LAN): Client/server ve peer-to-peer •           Wide area network (WAN): Router-to-router. •           Remote access: Dial-up clientlar ve Internet erişiminde.

Tipik IPSec Senaryoları:

Paket Filtreleme: IPSec uç sistemler (end-systems) arasında güvenlik duvarı özelliklerini sağlar. Internet Bağlantısı: Gelen ve giden trafik üzerinde güvenlik önlemleri sağlar. Host-to-host arasında güvenlik: Serverlar arasında karşılıklı kimlik denetimi sağlar. Örneğin sitelere dağılmış domain controller arasında güvenlik, Web serverlar arasında güvenlik sağlar. Serverlara erişimde güvenlik: Serverlara erişen client bilgisayarlar için karşılıklı  kimlik denetimi sağlar.   IPSec network verilerinin güvenliğini şu şekilde karşılar:   •           Veri alışverişinden önce bilgisayarların karşılıklı olarak kimlik denetimi yapmak. •           İki bilgisayar arasında güvenlik birliği (security association) oluşturmak. •           Alış verişi yapılan veri üzerinde şifreleme yapmak.   VPN bağlantılarında L2TP/IPSec tünelleme: VPN senaryolarında Layer Two Tunneling Protocol (L2TP) ve IPSec (L2TP/IPSec) birlikte kullanılabilir. (70-65-82-85-75-67-85-66-85-75-67-85)   Şekil: IPSEC  

IPSec Policy"leri Yapılandırmak

Bilgisayarlar arasında IPSec"i yapılandırma sırasında iki mod seçilir: •           Transport Mode •           Tunnel Mode   IPSec"i Transport Modda Kullanmak Transport mod iki bilgisayar arasında kimlik doğrulama ve verilerin şifrelenmesi işlemini gerçekleştirir. Transport mod varsayım IPSec modudur:   Transport modu belirtmek için: 1.  IP Security Policy Management"ı açın. 2.  Ayrıntılar sayfasında değiştirmek istediğiniz ilkeyi sağ tıklayın ve Properties"i tıklayın.  3.  Değiştireceğiniz kuralı seçin ve Edit"i tıklayın.  4.  Tunnel Setting tabında "This rule does not specify a tunnel " seçeneğini tıklayın.   Tünel Mode İki uzak network (remote network) arasında güvenli iletişim yaratmak için IPSec"i tünel modunda yapılandırmak gerekir. Tünel modunun üstünlüğü verinin iki tünel ucunda güvenli olmasıdır. IPSec tünel modu yapılandırıldığında networkler arasındaki bütün iletişim güvenli olur.   IPSec"i Tunnel Modda Kullanmak IPSec Tünel modunda iki router arasında yaratılan IP tünel içinde kimlik denetimi ve veri şifreleme işlemleri yapar.   Tünel modun kullanılabilmesi için Routing and Remote Access servisinin yapılandırılması gerekir. Tünel modu IP Sec Management içinde etkinleştirilir. Tünel modu yapılandırıldığında IPSec her tünel sonu için bir IP adresine gereksinim duyar.   Bir IPSec tüneli belirtmek için: 1.  IP Security Policy Management"ı açın. 2.  Ayrıntılar sayfasında değiştirmek istediğiniz ilkeyi sağ tıklayın ve Properties iletişim kutusunu açın. 3.  Değiştirmek istediğini kuralı seçin ve Edit"i tıklayın.  4.  Tunnel Setting tabında "The tunnel endpoint is specified by this IP Address" seçeneğini seçin ve tünel sonu noktasının IP adresini belirtin.




  Ad Soyad
  Yorum