BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç. Malik YILMAZ Oğuz ŞENER 100217002

Bilgi, insanın ilk varoluşundan itibaren elde edilmeye, kullanılmaya ve üretilmeye çalışılan bir ihtiyaç olarak bilinmektedir. Türü ne olursa olsun bilgi, insan yaşamını kolaylaştırmak ve hızlandırmak gayesiyle üretilmiştir. Gelişen teknolojiyle paralel bir şekilde artan ve büyüyen bilginin de önemi hızlanmakta ve dünyanın en önemli ihtiyacı olarak güç kazanmaya devam etmektedir. Bu denli önemli olan bilginin korunabilirliği hususu ise bilginin güvenliği için bir takım çalışmalara gereksinim duyulmasına yol açmıştır. Bilgi güvenliğini, bilginin bir varlık olarak hasarlardan korunması olarak tanımlayabiliriz. Bilgiyle birlikte ortaya çıkan bir çok politikalardan olan kimlik doğrulama ve yetkilendirme politikalarına açıklık getirmeye çalışacağız.

Kimlik Doğrulama(Authentication) Sistemi kullanmak isteyen kimliğin bilgilerinin, sistemde tutulan kimlik bilgileri ile doğrulanmasıdır. Tümleşik Oturum(Single Sign-On, SSO) Kimlik doğrulama işleminin, ekosistem dahilindeki bütün uygulamalar için merkezileştirilmesi olarak tanımlanabilir. Kimlik Yönetim Sistemi(Identity Management System) Kaynakların, kimlik bilgilerinin saklandığı dizinlerin , kimlik yetki atamalarının yönetimini sağlayan sistemdir.

Kimliklendirme, Doğrulama, Yetkilendirme • Kim Giriş İstiyor, Kimliği Doğrumu, Yetkileri Neler ? • Kimliklendirme; kullanıcının sistemlerde bir kimliğe sahip olması sürecidir. •Doğrulama; kullanıcı kimliğinin sistemlerdeki geçerliliğinin doğrulanması sürecidir. •Yetkilendirme; kullanıcının geçerliliği doğrulanan kimliğinde sahip olduğu yetkilerin kullanıcıya atanması sürecidir.

Doğrulama • Yöntemler – Kullanıcı Adı / Şifre – Tek Kullanımlık Şifre Cihazları – Akıllı Kartlar – Manyetik Kartlar – Sertifikalar – Biyometrik Sistemler • Çok Faktörlü Doğrulama – Bildiğiniz Şey (Şifre, Pin) – Sahip Olduğunuz Şey (Sertifika, Akıllı Kart, OTP Cihazları) – Olduğunuz Şey (Biyometrik Sistemler)

Doğrulama Yöntemleri • Şifreler – Düz Şifre, Şifre Karmaşıklığı, Şifre Politikaları • Ardışık Sorularla Doğrulama • Tek Seferlik Şifre Cihazları – Senkron (eş zaman-eşgüdüm) – Asenkron • Biyometrik Sistemler – Parmak izi, El geometrisi, Avuç içi, İris, Retina, Ses, Klavye Hareketi – Kullanıcıların Kabulü, Yaş, Cinsiyet, Fiziksel Engeller

Merkezi Doğrulama • Sorun : Çok sayıda kullanıcı, çok sayıda kullanıcı hesabı, birçok şifre, çok sayıda sistem ve ağ servisi • Merkezi doğrulama, tek bir sistemde kullanıcı kimliklerinin bulunması, ağ ve sistem servislerinin doğrulamayı bu sistem üzerinden yapması sürecidir. • Kullanıcı sadece merkezi doğrulama sunucusuna giriş yapar, istekte bulunduğu sistem ve ağ servisleri kullanıcının geçerliliğini merkezi doğrulama sistemine sormaktadır. • Kerberos, SESAME, Krypto Knight (IBM) ve NetSP, Thin Client

ULAKBİM; Kimlik Doğrulama Kullanıcı adı + parola + diğer bilgilerin doğruluğu Yetkilendirme Servise erişim yetkisi kontrolü olarak tanımlamaktadır…

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık ) Dezavantajları -Kullanıcı açısından parola yönetimi -Yönetim ve bakım için harcanan işgücü Avantajları -Uygulaması kolay

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID

Avantajları Dezavantajları Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) Avantajları Kullanıcı bilgileri kurum içinde ( Kısmen ) Kullanıcılar açısından parola yönetimi kolay Sistemci açısından kimlik yönetimi kolay İşgücü ve maliyet düşük Dezavantajları Tek bir TOA (SSO) sunucusu kullanmak Uygulamadaki zorluklar

Akıllı Kart Destekli Web Kimlik Doğrulama ve Yetkilendirme Yazılımı Web tabanlı uygulamalarda klasik kimlik doğrulama olarak bilinen kullanıcı adı ve şifre kontrollü giriş yerine, daha güvenli olan akıllı kart destekli kimlik doğrulaması sağlayan bir çözümdür. Klasik kimlik doğrulama işleminde, giriş için kullanılan kullanıcı adı ve parola ikilisi çoğunlukla statik ve kullanıcı dışındaki kişiler tarafından ele geçirilebilecek bilgilerdir. Buna karşılık akıllı kart destekli kimlik doğrulama işleminde, doğrulama bilgileri sürekli değişmekte ve donanıma bağımlı hale getirilerek başkalarının erişimi kısıtlanmaktadır.

E-imza Bilişim’in sunduğu ve java applet olarak yapılandırılan Akıllı Kart Destekli Kimlik Doğrulama Kütüphanesi ile platformdan bağımsız çalışabilme imkânı bulunmaktadır. Bir başka ifade ile kurumun mevcut sisteminde var olan uygulamalarda herhangi bir değişikliğe gerek yoktur. Kullanımı ve yönetimi kolay olan bu çözüm sayesinde her türlü web tabanlı uygulama ve java tabanlı masaüstü yazılım güvenli kimlik doğrulamalı hale getirilebilmektedir.

Kimlik Federasyonu Kavramı Belirli bir kural seti, Teknik Standartlar, altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar. Böylece ; Farklı altyapıların birlikte çalışabilmesi, Altyapılar arası güvenin sağlanması, Etki alanlarındaki servislerin ağ dışına da açılması, gibi isteklere çözüm getirir.

ULAKAAI Kimlik Federasyonu ( Pilot ) ULAKNET içerisindeki kdy sistemlerinin birleşmesini, Elektronik kaynakların ve servislerin tüm etki alanıyla paylaşılabilmesini, sağlamak amacıyla kurulmuş kimlik federasyonudur.

ULAKAAI Kimlik Federasyonu

Federasyonsuz KDY Kimlik Sağlayıcı Servis Sağlayıcı 1) Erişebilir miyim? 2) Yetkin Var mı???? 3) Kullanıcı adı ve Parola Versem? Kimlik Sağlayıcı Servis Sağlayıcı Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip Kurumların değerli bilgileri, servislere dağıtılıyor

Federasyonlu KDY Kimlik Sağlayıcı Servis Sağlayıcı 3) Yetkim Var mı? 1) Erişebilir miyim? 2) Yetkin Var mı? Kimlik Sağlayıcı Servis Sağlayıcı 4) Kimlik Bilgileri ve Yetkileri Kullanıcı kimlik bilgileri kurum içerisinde kalıyor Servis Sağlayıcı sadece ihtiyacın olanı biliyor Dağıtılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

Kimlik doğrulama ve yetkilendirme hususunda kurum ve kuruluşların genel politikaları: 1. Bilgi sistemleri üzerinden gerçekleşen işlemler için uygun bir kimlik doğrulama mekanizması kurulur. Hangi kimlik doğrulama tekniklerinin kullanılacağına, üst düzey yönetim tarafından yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin türü (tipi, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü gibi), işleme konu verinin hassaslık derecesi ve kimlik doğrulama tekniğinin kullanım kolaylığı da göz önünde bulundurularak gerçekleştirilir. 2. Uygulanacak kimlik doğrulama mekanizması, müşterilerin ve personelin bilgi sistemlerine dâhil olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde tesis edilir. Kimlik doğrulama bilgisinin oturumun basından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alınır.

3. Bilgi sistemlerine erişim için kullanılan kimlik doğrulama verilerinin tutulduğu veri tabanlarının güvenliğini sağlamaya yönelik gerekli önlemler alınır. Bu amaçla alınacak önlemler asgari olarak kimlik doğrulama verilerinin veri tabanlarında şifreli olarak muhafaza edilmesi, yapılacak her türlü kontrolsüz değişikliği algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve bu denetim izlerinin güvenliğinin sağlanması hususlarını içerir. Ayrıca bu veriler kimlik doğrulama amacıyla aktarılırken şifrelenir ve verilerin aktarımı sırasında gizliliğinin sağlanmasına yönelik önlemler alınır. 4. Ayrıcalıklı yetkilere sahip kullanıcı ve sistem hesapları için ek denetim izleri tutulur ve periyodik olarak gözden geçirilir.

5. Ayrıcalıklı yetkilere sahip kullanıcılar, yetkilerinin başka kişilerce kullanımının önlenmesinin önemi konusunda yeterli düzeyde bilinçlendirilir. 6. Acil durumlar için, yetkili personele ulaşılamaması nedeniyle geçici olarak gerçekleştirilen yetkilendirmelerde, bu yetkilendirme süresince gerçekleştirilecek işlemlerin yeterli düzeyde takibine izin verecek şekilde detaylı denetim izlerinin tutulması sağlanır. 7. Bilgi sistemleri alt yapısına yönelik yetkisiz fiziksel ve mantıksal erişimleri engelleyecek kontroller ve gözetim süreçleri tesis edilir.

SORU VE ÖNERİLER ? TEŞEKKÜRLER