Erişim Denetim Mekanizmaları

Slides:



Advertisements
Benzer bir sunumlar
Kullanıcı ve Grup Yönetimi
Advertisements

ÖRNEK BİR VERİTABANI TASARIMI VE NORMALİZASYONU
DOSYA VE KLASÖRLERE ERİŞİMİN YÖNETİLMESİ
SINIFLAR Yılmaz Kılıçaslan.
Öğr.Gör. Dr. Şirin KARADENİZ
BİR WORM’UN ANATOMİSİ Gökhan AKIN Asım GÜNEŞ
Değişken Bildirimleri
BİLGİ GÜVENLİĞİ. Mehmet Kutluay. Tansu Ulusoy. Mehtap Çiftçi
Bellek Yönetimi.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
ARP DİNLEME.
Veritabanı Yönetim Sistemleri Hızlı ve Kısa Giriş
Transaction.
EVRE 1 BLOK 1 Uygulamalı Bilgisayar Eğitimi Öğr. Gör. A. Murat ERGİN E.Ü.T.F. Biyoistatistik ve Tıbbi Bilişim A.D.
NESNEYE YÖNELİK PROGRAMLAMA
BİLGİ TEKNOLOJİSİNİN TEMEL KAVRAMLARI
VERİ TABANI VE YÖNETİM SİSTEMLERİ  Birincil Anahtar Türleri  Access Veri Tabanında Bulunan İlişkiler  İlişkileri Tanımlama Bir – Çok İlişkisi Çok –
ÇİZGELERİN GÖSTERİMİ Yılmaz KILIÇASLAN. Sunu Planı Bu derste, çizgelerin bilgisayarda gösterimine ilişkin iki standart yaklaşımı inceleyeceğiz.
MART 2013 İŞLETİM SİSTEMLERİ.
DEĞİŞKENLER, VERİ TÜRLERİ VE OPERATÖRLER
Metotlar.
Dosya İşlemleri BİLGİSAYAR PROGRAMCILIĞI BÖLÜMÜ
Sistem ve Ağ Yönetiminde Parola Yönetim Zorlukları
İŞLETİM SİSTEMLERİ Öğr. Gör. S.Serkan TAN.
ÇİZGELERİN GÖSTERİMİ Yılmaz KILIÇASLAN.
Abdulkadir KARADENİZ Avantaj ve Dezavantajları Girdi-İşlem-Çıktı Prensibi Donanım – Yazılım Kavramları Abdulkadir KARADENİZ.
BTP102 VERİTABANI YÖNETİM SİSTEMLERİ 1
BÖLÜM 15 PROTECTION.
BİLGİSAYAR YAZILIMI.
ŞİŞECAM’DA BİLGİ GÜVENLİĞİ
İŞLETİM SİSTEMLERİ İşletim sisteminin, kolay ve hızlı kullanım, kaynak verimliliği gibi kıstasların dışında, ortamında saklanan bilgilerin, gerekse izinsiz.
Dosya İzinleri Öğr. Gör. Mustafa SARIÖZ BİLGİSAYAR TEKNOLOJİLERİ VE PROGRAMLAMA BÖLÜMÜ BİLG 223 AĞ İŞLETİM SİSTEMLERİ DERSİ.
Kabuk işlemleri.
Denetim Masası Ms. Windows 8.1
BİLGİ GÜVENLİĞİ.
Kullanıcı Seçeneklerini Güncelleme Kullanıcı güncelleme işlemi konsol ve grafik ortamdan yapılabilir. Komut Satırı ile Kullanıcı Seçeneklerini Güncelleme.
Yönlendirici (Router) Güvenliği
Chapter 11: Dosya Sistem Arayüzü
BİL İŞLETİM SİSTEMLERİ
WİNDOWS SERVER 2003’te KULLANICI VE GRUP HESAPLARI.
Ağ ve Sistem Güvenliği’nde Yaygın Problemler
İnsan Kaynakları Bilgi Sistemleri
BELLEK YÖNETİMİ Memory Management
KIRKLARELİ ÜNİVERSİTESİ
UNV13107 TEMEL BİLGİ TEKNOLOJİSİ KULLANIMI. Veri tabanı Bilgisayar ortamında saklanan düzenli verilerdir. Bilgisayar ve ağ ortamındaki bilginin temel.
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
Dosya sistemi, bilgisayarın sabit disk üzerindeki verileri düzenlemek için kullandığı temel yapıdır. Disk depolamanın temel birimidir. Disklerin kullanılabilmesi.
BİYOLOJİK VERİTABANLARINA GİRİŞ
 Linux’te temel dosya sistemi güvenliği kullanıcıların dosya ve dizinler üzerindeki erişim izinlerinin belirlenmesiyle sağlanır. Bir dosya veya dizinlere.
ÖTÖ 451 Okul Yönetiminde Bilgisayar Uygulamaları R. Orçun Madran.
Hafta 1: Dizinleme ve Özler BBY 264 Dizinleme ve Sınıflama.
FAT VE NTFS DOSYA YAPISI
Konu : WİNDOWSTA VERİ DEPOLAMA YÖNTEMLERİ Hazırlayan : Güray Mantar
E-YEDEKLEMELİ SAKLAMA. E-Yedeklemeli Saklama E-Faturalarınız ve e-arşiv faturalarınız EDM e-fatura sistemine kaydolmanız ile beraber sistem üzerinden.
Linux Komutları.
Bilgi İşlem Organizasyonu
Bellek Yönetimi(Memory management)
ÖRNEK BİR VERİTABANI TASARIMI VE NORMALİZASYONU
ANKARA ÜNİVERSİTESİ SAĞLIK BİLİMLERİ FAKÜLTESİ SOSYAL HİZMET BÖLÜMÜ
Active Directory.
PROXY SERVER YASİN ÇAKIR
TETİKLEYİCİ ( Trigger)
LDAP ( LİGHTWEİGHT DİRECTORY ACCESS PROTOCOL )
HTTP Kullanıcı Asıllama ve Yetkilendirme
Bilgisayar Bilimi Problem Çözme Süreci-2.
Telif Hakkının Korunması
Öğretim Görevlisi Alper Talha Karadeniz Veri Tabanı 1
Dosya/Dizin İzinleri - Dosya sahibinin izinleri (Dosyanın sahibi : u)
FIRAT ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ BİLGİSAYAR MÜHENDİSLİĞİ
Transaction.
Sunum transkripti:

Erişim Denetim Mekanizmaları Çiçek Çavdar Bilişim Enstitüsü, Bİlgisayar Bilimleri 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik İçerik Erişim Kontrol Listeleri (ACL) Erişim Kontrol Listelerinin Kısaltılması Erişim Kontrol Listelerinin Yaratılması ve Bakımı Hakların geri alınması Örnek: WinNT Erişim Kontrol Listeleri Yetenekler (C-lists) Yeteneklerin Uygulanması Kopyalama ve yetenekleri güçlendirme Yeteneklerin sınırları Erişim Kontrol Listeleri (ACL) ile karşılaştırma Kilitler ve Anahtarlar Tip Kontrolü Gizli değerlerin paylaşımı  Halka tabanlı erişim kontrolü Üreyen Erişim Kontrol Listeleri (PACL) 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik Giriş Erişim Kontrol Matrisi, sistemdeki öznelerin (kullanıcılar, süreçler) nesneler üzerindeki kullanım haklarının tanımlandığı bir matristir Pratikte matris modelinin pek çok karmaşık yanı bulunmaktadır: Sistemdeki nesnelerin ve öznelerin sayılarının büyüklüğü düşünüldüğünde matrisin boyutları ciddi miktarda yer tutar. Matrisin pek çok alanı ya 0 kabul edilecek değerleri (erişim yok anlamında) ya da başlangıç değeri olarak atanan erişim değerlerini tutmaktadır. Bir öznenin veya nesnenin eklenip silinmesi halinde matris sahip olduğu alanı yeniden organize edebilecek yönetim mekanizmasına sahip olmalıdır. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Erişim Kontrol Listeleri Sistemdeki her nesne için ayrı erişim kontrol listesi (acl) tutulur. Listede ikililer halinde nesneye erişecek özneler ve öznelerin erişim bilgileri bulunur: acl(Dosya1)={ (süreç1, {read, write, own}), (süreç2, {append}) } 20.4.2004 Bilgisayar Ağlarında Güvenlik

Erişim Kontrol Listeleri Ağer bir özne acl içinde geçmiyorsa ilgili nesne üzerinde herhangi bir erişim hakkına sahip değildir. Çok sayıda özne aynı nesne üzerinde aynı erişim haklarına sahipse grup tanımlanır. (kullanıcı, grup, haklar)   “*” işareti de üç girişten herhangi biri yerine kullanılabilir ve “tümü” anlamına gelir. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Erişim Kontrol Listelerinin Kısaltılması Bazı işletim sistemleri örneğin UNIX’te olduğu gibi kullanıcıları erişim açısından gruplara böler. Örneğin erişim tanımlanırken üç çeşit kategoride öznelere haklar verilir: (sahip, grup, diğer) (read, write, execute) Her kullanıcının dahil olduğu grup önceden belirlidir. Bir kullanıcı tarafından dosya yaratılırken kullanıcı dosyanın sahibi olarak belirlenmiş olur. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Kısaltmanın dezavantajı Erişim kontrol mekanizmasının hassasiyetini kötü etkiler. Örneğin bu sistem bir kullanıcının yarattığı dosya için “Ayşe” ye sadece okuma ve yazma izni, “Fatma”ya sadece okuma izni, “Ali”ye ise sadece çalıştırma izni vermesine uygun değildir. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik Çözüm UNIX’in IBM versiyonu AIX’te “extended permissions” denen “base permissions” a ek olarak tanımlanan istisna durumları içeren erişim hakları tanımlanabilir. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Erişim Kontrol Listelerinin Yaratılması ve Bakımı Bazı spesifik “ACL” uygulamaları aşağıdaki detaylar üzerinden farklılaşabilir: Bir nesnenin ACL’ine hangi özneler müdahale edebilir? ACL imtiyazlı kullanıcılara da uygulanabilir mi? (UNIX’teki root veya WİNNT’deki administrator gibi) ACL grupları destekleyecek mi? Erişim control izinlerinde çelişkili tanımlamalar nasıl kotarılacak? Eğer varsayılan erişim kurallarının geçerliliği kabul edildiyse ACL bu kuralların üzerine mi gelecek yoksa varsayılan kurallar ACL’in olmadığı durumlarda mı geçerlilik kazanacak? 20.4.2004 Bilgisayar Ağlarında Güvenlik

Hakların geri alınması Bir öznenin nesneye erişimini engellemek için özneye ait girişlerin nesnenin erişim kontrol listesinden silinmesi gereklidir. Erişim izinlerinin verilmesi sadece nesnenin sahibi tarafından kontrol ediliyorsa sorun yoktur Örnek: Ayşe Fatma’ya dosyasını güncelleme izni verdi. Fatma da Tunç’a dosyayı güncelleme izni verdi. Ayşe Fatma’ya verdiği hakkı kaldırmak istediğinde Tunç’un izni de kalkmalıdır. Bu durumda bir bağlantı bilgisi tutulmalıdır. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Yetenekler(Capabilities) Yetenekler, bir öznenin hangi nesnelere, hangi erişim hakları olduğunu tanımlar. Sistemde her öznenin bir “C-list”i vardır. C-list de bulunan nesnelerin isimlerinin listede nasıl temsil edileceği bir problemdir. Çünkü aynı isimde nesneler mevcut olabilir. Çözüm1: ilgili nesneyi tarif edebilmek için nesnelerin adres ve uzunluklarının tutulması Çözüm2: benzersiz, nesneye özgü bitdizilimleri ile nesneleri temsil etmek 20.4.2004 Bilgisayar Ağlarında Güvenlik

C-list’in taklit edilemez olması Bunun için üç mekanizma kullanılır Donanım etiketi(Tag) Korumalı bellek Şifreleme 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik 1. Donanım Etiketi(Tag) Her donanım kelimesiyle ilişkili bir etiket Etiketin iki durumu: Kur-bırak. Kur aktifse süreç kelimeyi okuyabilir fakat değiştiremez. Çünkü o kelime bir c-list içeriyordur. Bırak aktifse süreç kelimeyi hem okur hem de değiştirebilir. Sıradan bir süreç etiketin durumunu değiştiremez. Yetkili işlemci değişiklik yapabilir. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik 2. Korumalı Bellek Belleğin, programlar tarafından erişilemeyen bazı alanlarında c-list tutulur. Süreçle c-list doğrudan ilişkilendirilmek yerine tabloya işaret eden indis tutulur. Sürecin sadece bu indise erişimine izin vardır. Süreç sahip olduğu yetenekleri okuyabilir ama yetenekleri değiştiremez. Meta-komutlar: c-list yaratıp değişiklik yapabilirler. Yeni c-list yarat, bir c-list’e yeni yetenek ekle, bir c-listten yetenek sil. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik 2. Korumalı Bellek 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik 3. Şifreleme C-list şifreli olarak veya özü alınmış hali sonuna eklenerek tutulur. Değiştirilip değiştirilmediği tekrar özü alınarak kontrol edilebilir. Şifreleme işlemi işletim sistemi çekirdeği tarafından yapılır. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Kopyalama ve yetenekleri güçlendirme Bir kullanıcı(A) diğer bir kullanıcıya(B) bir dosyayı okuma izni vermek istediğinde Kullanıcı önce o nesne üzerinde gerekli izne sahip olduğuna dair kendi yeteneğini sunucuya gönderir ve okuma için kısıtlanmış bir yetenek ister. Sunucu ilgili nesne için yeteneği üretir. Güçlendirme : yeteneklerin artırılmasıdır. Bu işlem genellikle belirli koşullar altında geçici olarak yapılır. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Hakların geri alınması Bir nesneye erişim hakları geri alınırken yetenekler içerisinde o nesneye erişimle ilgili olanların hepsinin de geri alınması gerekir. Bu işlemin getireceği yük çok fazla olduğundan alternatif yöntemler geliştirilmiştir. En basit yöntem “indirection” dur. Bunun için bir ya da birden fazla global nesne tablosu tanımlanır. Yetenek yok edilirken global nesne tablosundaki giriş yok edilir. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Erişim Kontrol Listeleri (ACL) ile karşılaştırma ACL’de bir nesne verilir. Bu nesneye hangi öznelerin nasıl erişebileceğinin listesi tutulur. C-listesinde ise bir özne verilir. Bu öznenin erişebildiği nesneler ve erişim biçimi listede tutulur. ACL temelli sistemlerin sayısı daha fazladır. 20.4.2004 Bilgisayar Ağlarında Güvenlik

3. Kilitler ve Anahtarlar (Locks and Keys) ACL ve C-list tekniklerinin karışımıdır. Bir parça bilgi (kilit) nesne ile ilişkilendirilirken bir başka parça bilgi (anahtar) de nesneye erişim hakkı olan özneler ve erişim biçimleri ile ilişkilendirilir. Bir özne nesneye erişmeye çalıştığında öznenin anahtar seti kontrol edilir. Eğer öznenin anahtarı nesnenin kilitlerinden herhangi biriyle uyuşuyorsa belirtilen tipte erişim hakkı tanınır. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Kilitler ve Anahtarlar Bu metodun diğerlerinden farkı dinamik olmasıdır. ACL statiktir. Erişim control listesinde yapılacak tüm değişikliklerin elle yapılması gerekir. Kilit ve anahtarlar ise sistem kısıtlarına yanıt olarak değişme özelliğine sahiptirler. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik Tip Kontrolü Erişim öznenin veya nesnenin tipine göre kısıtlanır. Kilit anahtar yönteminin bir versiyonudur. Örnek: Bazı sistemlerde dosya sistemlerinin bütünlüğünü korumak için yapılır Çekirdek, dosya sistemi nesneleri arasında “directory” tipli olan nesneye yazma iznini sınırlar. Komutları diğer verilerden ayırmak için tip kontrolü yapılır ve “execute” izni sadece komut dosyaları üzerinde 20.4.2004 Bilgisayar Ağlarında Güvenlik

Gizli değerlerin paylaşımı Kilit anahtar mekanizmasında gizli bir verinin belirlenen kullanıcılar arasında paylaşımı nasıl sağlanır? Örn1: üç kişinin başlatabileceği bir program sözkonusu Bu durumda erişilecek dosya şifrelendikten sonra şifre çözücü anahtar üçe bölünerek kişilere dağıtılır. Örn2: 10 kişiden üçünün biraraya gelmesi halinde erişim 20.4.2004 Bilgisayar Ağlarında Güvenlik

A(t,n) threshold scheme n adet kullanıcıdan veya süreçten t tanesinin işbirliği yapması sonucunda erişim sağlanabilir. Bir veri n parçaya bölünür fakat t adet parçadan bilginin bütünü elde edilebilir. N parçaya ise “shadow” adı verilir. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Halka tabanlı erişim kontrolü 0’dan 63’e kadar bir dizi koruma halkası tanımlanır. Çekirdek 0. halkada temsil edilir. Halka numarası arttıkça halkadaki segmanların veya o halkada çalışan prosedürlerin yetkileri azalır. Halkalar süreçlerin tamamıyla değil sadece segmanla ilişkilendirilir. Diskteki bir segmandan erişilmek üzere belleğe çekilen bir dosya ile bellekte zaten var olan bir dosyaya koruma mekanizması açısından aynı muamele yapılır. 20.4.2004 Bilgisayar Ağlarında Güvenlik

1. r halkasında çalışan bir süreç bir veri segmanına erişmek istesin Her veri segmanına bağlı bir çift halka numarası tutulur. (a,b: a<=b) r<=a ise erişim izni verilir. a<r<=b ise okuma ve çalıştırma izni verilir, yazma ve ekleme izni verilmez. b<r ise tüm erişimler yasaktır 20.4.2004 Bilgisayar Ağlarında Güvenlik

2. r halkasında çalışan bir süreç bir prosedüre erişmek istesin Programların içinde tanımlanan geçitler devreye girer. Prosedürler için bir de a<c olacak şekilde çağrı ikilisi tanımlıdır. r<a ise erişim tamam fakat halka geçiş hatası oluşur a<=r<b ise erişim tamam ve hata yok. b<r<=c ise uygun geçitten yapıldığı sürece erişim izni verilir. c<=r ise tüm erişimler yasaktır. . 20.4.2004 Bilgisayar Ağlarında Güvenlik

Üreyen Erişim Kontrol Listeleri (Propagated Access Control Lists-PACL) Nesnenin yaratıcısı nesneye kimlerin erişebileceğini belirler. PACL’de yaratıcı da tutulur ve PACL’yi yalnızca o değiştirebilir. Bir dosya yaratıldığında yaratcının PACL’si dosyanınkiyle eşitlenir. Yaratıcı (A) başka birine (B) erişim izni verdiğinde PACL(B)=PACLA kesişim PACLB . 20.4.2004 Bilgisayar Ağlarında Güvenlik

PACL ve ACL’ nin farklılıkları PACL veri ile ilişkilendirilirken ACL nesnelerle ilişkilendirilir. PACL sistemin çevresinde akan bilgiyi takip ederken ACL nesneye bağımlı kalır. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik Sonuç Erişim control mekanizmaları nesnelere ve öznelere erişimi control ederler. ACL’de veri nesneye bağlanırken C-listesinde özne üzerinden erişim bilgisi tutulur. Kilit anahtar mekanizmasında ise veri özneler ile nesneler arasında dağıtılır. Halka tabanlı mekanizmalar genellikle zorunlu erişim kontrolleri için uygundur. Geçişlerde bariyerler işletim sistemi tarafından belirlenir. PACL de veri taşıyan nesnelerle değil doğrudan verinin kendisiyle ilişkilendirme sözkonusudur. 20.4.2004 Bilgisayar Ağlarında Güvenlik

Bilgisayar Ağlarında Güvenlik Kaynaklar “Capability Based Access Control Mechanisms”, Lecture Notes, http://www.cs.cornell.edu/Courses/cs513/2000sp/L08.html “Computer Security,Art and Science”, M.Bishop, Addison Wesley “Handbook of Information Security Management”, Micki Krause, Harold F. Tipton, CRC Press LLC 20.4.2004 Bilgisayar Ağlarında Güvenlik