Dağıtık Sistemlerde Güvenlik

Slides:



Advertisements
Benzer bir sunumlar
MS OFFICE Access 2013.
Advertisements

SGB.NET’İN TEKNİK ALTYAPISI
VERİTABANI YÖNETİM SİSTEMLERİ
AĞ YAPISI İNTERNET AĞLARI.
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek.
WEB SERVİCE İDRİS YÜRÜK MAHMUT KAYA.
İnternet Siteleri Yönetimi
HTTP’yi (istemci tarafı) kendi kendinize deneyin
YARDIM MASASI Internet Explorer tarayıcısı açılır ve Yardım Masası adresi yazılarak sayfası açılır. Gelen.
Bilgisayar Ağlarına Giriş
E TİCARETTE GÜVENLİK SORUNLARI VE ÖNLEMLERİ
Bölüm 1: Introductions (Tanıtım,Tanım)
Çevre ve Orman Bakanlığı Bilgi İşlem Dairesi Başkanlığı
Proxy-DNS Nedir?.
AĞ PROTOKOLÜ.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
AĞ GÜVENLİĞİ.
(İNTERNET SAYFALARI YÖNETİMİ)
HR-WEB Web Tabanlı İnsan Kaynakları Uygulamaları
Depolama Alan Ağları – SAN Ağa Bağlı Depolama - NAS
Bölüm 1 Ağlar ve Verİ İletİşİmİ
BİLGİSAYAR AĞLARI.
Windows Server 2008’e Genel Bakış Microsoft Windows Server 2008, bilgi teknolojileri (BT) uzmanlarının altyapıları üzerindeki kontrollerini maksimum seviyeye.
MERKEZİ KULLANICI TANIMA SERVİSLERİ Mustafa Atakan ODTU-BIDB Teknik Destek Grubu.
İŞLETİM SİSTEMLERİ Öğr. Gör. S.Serkan TAN.
AĞ İŞLETİM SİSTEMLERİ Öğr. Gör. Mustafa SARIÖZ
ŞİŞECAM’DA BİLGİ GÜVENLİĞİ
AKILLI KART SAĞLIK SİSTEMİ
T.C. MİLLİ EĞİTİM BAKANLIĞI Büro Yönetimi Öğretmeni Fatma GEZ BALIKESİR / BANDIRMA – İLÇE MİLLİ EĞİTİM MÜDÜRLÜĞÜ Büro Yönetimi ve Resmi Yazışma Kuralları.
“INET-TR ’2000: Türkiye’de Internet Konferansı” 9-11 Kasım 2000, İstanbul Y.T. Elektronik Bilgi Hizmetleri ve Erişim Yönetimi Yaşar Tonta H.Ü. Kütüphanecilik.
BİLGİSAYAR AĞLARINA GİRİŞ
TCP/IP – DHCP Nedir?.
BİLGİSAYAR AĞLARINA GİRİŞ
E-TICARET’TE GUVENLİK SİSTEMLERİ
BTÖ 306 Bilgisayar Ağlarına Giriş Dr. Şirin Karadeniz Çelebi Uluyol.
Bilgisayar ve Veri Güvenliği
Sertaç Çelikyılmaz Genel Müdür Elektronik Bilgi Güvenliği A.Ş. Türkiye’de Kurumlar İçin e-Güven Altyapısı 07 Ekim 2004, İstanbul Eczacıbaşı Holding.
Ağlar ve Veri İletişimi
Türk Hava Kurumu Üniversitesi
WİNDOWS SERVER 2003’te KULLANICI VE GRUP HESAPLARI.
Windows İşletim Sistemlerinde Yetkilendirme
KIRKLARELİ ÜNİVERSİTESİ
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
Dosya sistemi, bilgisayarın sabit disk üzerindeki verileri düzenlemek için kullandığı temel yapıdır. Disk depolamanın temel birimidir. Disklerin kullanılabilmesi.
İNTERNET.
EDİRNE VALİLİĞİ Bilgi İşlem Şube Müdürlüğü Numan OKUMUŞ Trakya Üniversitesi Bilgisayar Mühendisliği (İ.Ö.) Aralık
ÖTÖ 451 Okul Yönetiminde Bilgisayar Uygulamaları R. Orçun Madran.
ÖMER ÜNALDI EDUROAM.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
XML ve XML WEB SERVİSLERİ Volkan ALTINTAŞ. XML Bağımsız bir kuruluş olan W3C tarafından tasarlanmıştır. Herhangi bir kurumun tekelinde değildir. Kişilerin.
E-YEDEKLEMELİ SAKLAMA. E-Yedeklemeli Saklama E-Faturalarınız ve e-arşiv faturalarınız EDM e-fatura sistemine kaydolmanız ile beraber sistem üzerinden.
Bilgi İşlem Organizasyonu Güz Dönemi Server Çeşitleri ve Aralarındaki Farklar – Burak Eray KAYIŞ.
GÖZDEHAN ÖZTÜRK  Sunucu (Server), herhangi bir ağ üzerinde bir programı veya bir bilgiyi farklı kullanıcılara/sistemlere paylaştıran/dağıtan.
SUNUCU İŞLETİM SİSTEMLERİ
İNTERNETTE İLETİŞİM VE İNTERNET SERVİSLERİ
Bilgi İşlem Organizasyonu
haZIRLAYAN: ELİF KARAOĞLU
MUHASEBE YEDEKLEME.
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
MAİL SERVER Oğuz ZARCI –
Active Directory.
PROXY SERVER YASİN ÇAKIR
E-TICARET’TE GUVENLİK SİSTEMLERİ
ACTIVE DIRECTORY.
LDAP ( LİGHTWEİGHT DİRECTORY ACCESS PROTOCOL )
Windows Server 2012 R2 FILE SERVER
Turgutlu Meslek Yüksek Okulu Bilgisayar Programcılığı
Trakya Üniversitesi Teknik Bilimler Meslek Yüksekokulu
Temel Internet Kullanımı Y. Doç. Dr. M. Sıtkı İlkay Ekim 2006.
HTTP Kullanıcı Asıllama ve Yetkilendirme
Sunum transkripti:

Dağıtık Sistemlerde Güvenlik Pınar Karagülle

Akış Dağıtık Sistem & örnekler Güvenlik Erişim kontrolü (Yetkilendirme) Koruma Alanı Yetenekler Erişim Kontrolü Ehliyet Delegasyon Süreçlerin ve mesajların güvenliği Kerberos SSL Diğer tehditler

Dağıtık Sistem Farklı bilgisayarlardaki donanım ve yazılım bileşenleri arasında mesajlaşma yoluyla haberleşme ve koordinasyon sağlanan ağ Dağıtık sistemi diğer bilgisayar ağlarından farklı kılan özelliğin, ağın varlığı ve işlevinin kullanıcıya görünmemesi olduğu söylenebilir. (Saydamlık) Dağıtık sistem, bir ağ üzerine kuruludur. Yazılımla, ağdaki bileşenler arası işlevsel uyumluluk ve kullanıcı açısından saydamlık sağlanır. Dağıtık sistemlerin var oluş amacı, kaynakları paylaşmaya duyulan gerekliliktir. Bu kaynaklar donanımsal bileşenler (disk, yazıcı) olabileceği gibi, dosyalar, veri tabanı, nesneler gibi yazılım varlıkları da olabilir.

Örnekler Internet İç ağlar WWW, e-posta, dosya transferi servisleri Baskı sunucusu, dosya sunucusu, web sunucusu, e-posta sunucusu

Güvenlik Süreçlerin kapçıkladığı nesneleri izinsiz erişime karşı korumak (yetkilendirme) Süreçleri ve aralarındaki etkileşim için kullanılan kanalları güvenli hale getirmek (asıllama ve şifreleme)

Erişim Kontrolü Nesneler kullanıcıya özel veriler tutabilir. İstemci Nesne Sunucu Erişim Hakları İstek Yanıt Nesneler kullanıcıya özel veriler tutabilir. Erişim hakları tanımlanmalı. Sunucu erişim haklarının kontrolünden sorumlu

Erişim Kontrolü – Otorite kavramı İsteğin arkasındaki kullanıcı/süreç Basit Otoriteler İnsanlar (Ahmet, Mehmet) Makineler (4thFloorPrinter) Roller (Yönetici, sekreter, file server) Gruplar (ITU çalışanları) Doğrudan iletişimde bulunabilen otoriteler Birleşik Otorite Rol atama (Yönetici olarak Ahmet) Vekalet (Delegasyon) (Ahmet yerine Mehmet) Birleşme (Ahmet ve Mehmet)

Koruma Alanı Koruma alanı, bir grup süreç tarafından paylaşılan ve <kaynak, haklar> ikililerinden oluşan çalıştırma ortamıdır. Bir koruma ortamında çalışan tüm süreçler, listelenen kaynaklar üzerinde, belirtilen haklara sahiptirler. Bir koruma alanı genelde bir otoriteyle ilişkilendirilir. Otoritenin yürüteceği süreçler için bir koruma alanı oluşturulur. Otoritenin tüm hakları tutulur. Çeşitli gruplara üye olmaktan doğan haklar da dahildir. Soyut bir kavramdır.

Yetenekler İstemci, sunucudan yetenek isteğinde bulunur: <Kaynak ID, İşlemler, Asıllama kodu> Sunucu, istemcinin iddia ettiği koruma alanına dahil olduğunu asıllar. Yetenekleri onaylar. Bu aşamadan sonra istemci, mesajlarını <işlem, kullanıcı ID, yetenekler> şeklinde gönderir. Sunucunun yapacağı tek kontrol, yeteneğin geçerliliğinin dolmuş olup/olmadığı ve işlemin yetenekler arasında olup/olmadığı

Yetenekler Anahtar çalınması İptal sorunu

Erişim Kontrol Listeleri Her kaynak, <koruma alanı, izin verilen işlemler> Şeklinde girişler tutar. Alan:Bir otorite kimliği de olabilir, grup üyeliği belirleyen bir ifade de. Örneğin, “bu dosyanın sahibi”, istemci otoritenin kimliğiyle dosya sahibinin kimliğini karşılaştırarak değerlendirilebilecek bir ifadedir. UNIX ve Windows NT dahil olmak üzere, bir çok dosya sisteminde bu yapı kullanılmaktadır. Mobil kod içeren Java programlarının erişim kontrolü de koruma alanı kavramıyla gerçeklenmektedir: yerel kod ve indirilen kod farklı koruma alanlarına dahildir.

Ehliyet Ehliyet, bir kaynağa erişmek isteyen otorite tarafından sağlanan kanıtlardır. Örneğin otoritenin kimliğini bildiren bir sertifika yeterli bir ehliyettir ve erişim kontrol listesinden otoritenin haklarını kontrol etmek için kullanılabilir. Belli bir işleme kullanıcı grubunda sadece iki kişiye izin verilmesi ve işlemin gerçeklenmesi için ikisinin de onayının gerektiği durumda, işlem isteğinde bulunan kişi, kendi kimliğinin yanı sıra diğer otoritenin de ehliyetini bulundurmak zorundadır. Ayrıca, organizasyonlar ve özellikle görev bölümü gerektiren işler için, rol tabanlı ehliyetler kullanılmaktadır. Örneğin, bir genel seçim organizasyonunda, oy verme isteği yollanırken kullanıcıyı tanımlayan sertifikanın yanı sıra, seçmen sertifikası da gönderilmelidir.

Delegasyon Yararlı bir ehliyet türü, bir otoriteye veya sürece, başka bir otoritenin izinleriyle hareket etme hakkını veren ehliyettir. Bir servisin, istemcinin istediği işlemi tamamlayabilmek için korunan bir kaynağa erişmek zorunda kalması, delegasyon gerektiren bir durumdur. Örneğin, bir dosya basma isteği baskı sunucusuna geldiğinde, sunucu bu dosyayı kopyalamaz; istemcideki dosyaya erişip okur. Ancak dosya okumaya kapalı ise, sunucunun okuma iznine ihtiyacı vardır.

Süreçler ve iletişim kanallarının güvenliği Süreçlere saldırılar İsteklere cevap vermek üzere tasarlanmış bir süreç (sunucu süreç), bir dağıtık sistemdeki tüm diğer süreçlerden istek almaya açıktır. İletişim kanallarına saldırılar: Araya giren, mesajları sadece izlemek isteyebilir, değiştirip hedef adrese yollayabilir, kopyalayıp bir süre sonra tekrar yollayarak “tekrar saldırısı” düzenleyebilir.

Kerberos Bir iç ağdaki istemci ve sunucuların asıllanmasını sağlamak için tasarlanmış bir güvenlik sistemidir. 1980’lerde, MIT’de kullanıcıların yerleşke ağındaki kaynaklara güvenli erişimini sağlamak üzere geliştirilmiştir. Kerberos v5 Birçok üniversite ve şirketin iç ağında kullanılmakta Varsayılan asıllama servisi olarak Microsoft Windows 2000 işletim sistemine de dahil edilmiştir

Kerberos Anahtar Dağıtım Merkezi İstemci Sunucu C S Step A Asıllama Sunucusu A Bilet Sağlama Servisi T Servis Fonksiyonu Login Session Setup Server Session Setup DoOperation … Step B 3. Sunucu bileti isteği 4. Sunucu bileti Step A 1. TGS bilet isteği 2. TGS Bileti Step C 5. Servis İsteği 6. Yanıt Anahtar Dağıtım Merkezi İstemci C Sunucu S

Kerberos - Kavramlar Bilet: Bilet sağlama servisi tarafından, ağdaki belli bir sunucuya sunulmak üzere istemcilere verilen ve istemcinin Kerberos tarafından asıllanmış olduğunu belirten mesaj. Asıl: İstemcinin, kendi kimliğini ve iletişimin yeniliğini sunucuya kanıtlamak için gönderdiği mesaj. Sunucunun adını ve zaman damgasını içeren, oturum anahtarıyla şifrelenmiş mesaj. Oturum anahtarı: Kerberos tarafından rasgele üretilen ve belli bir sunucuyla haberleşmek üzere istemciye verilen anahtar.

Kerberos Haberleşilen her sunucu için bir bilet ve oturum anahtarı Bir sunucuyla her etkileşim sırasında, istemcinin yeni bir anahtar ve bilet alması, pratik bir yol değildir. Bu yüzden biletler istemcilere, belli bir süre kullanılmak üzere sağlanırlar. Yani biletlerin geçerlilik süreleri vardır.

Kerberos Sunucusu AS, oturum açma işlemi sırasında kullanıcının asıllanması ve TGS ile haberleşmede kullanacağı bilet ile oturum anahtarının sağlanmasından sorumludur. TGS, sistemdeki sunucularla haberleşmede kullanılacak bilet ve oturum anahtarlarını sağlar.

Kerberos – Zaman Damgası Needham-Schroder’den farklı olarak, zaman damgası kullanılır. Tekrarı önlemek, Biletlere bir yaşama süresi vererek, sistemin süresi dolan kullanıcı haklarını iptal etmesini sağlamak.

Kerberos - Notasyon C: istemci, S: sunucu A: AS, T: TGS n: nonce t : zaman damgası t1: Biletin geçerlilik süresi başlangıcı t2: Biletin geçerlilik süresi sonu bilet(C,S): C, S, t1, t2, KCS asıl(C): C,t

Kerberos - Protokol

Kerberos - Protokol

Kerberos - Protokol İstemcinin de sunucunun kimliğinden emin olabilmesi için, istek mesajındaki nonce oturum anahtarıyla şifrelenerek gönderilebilir.

Kerberos – Oturum Açma Sistemde kullanıcı şifresi her yeni servis isteği sırasında değil, sadece Kerberos sunucusuyla oturum açma işlemi sırasında kullanılmaktadır. Böylece kullanıcı şifresinin ele geçirilmesi olasılığı büyük ölçüde azaltılmış olur.

Kerberos - Gerçekleme Şifrelemede DES algoritması kullanılır, ancak ayrı bir modülde yapıldığı için algoritma kolayca değiştirilebilir. Kerberos, ölçeklenebilir yapıya sahiptir. Tüm uygulama alanı, ayrı asıllama otoritesi alanlarına bölünebilir. Bu alanlara “ülke” (realm) denmektedir. Her bir ülkenin kendi Kerberos sunucusu vardır. Çoğu sunucu sadece bir ülkede kayıtlıdır ancak TGS’lar tüm ülkelerde kayıtlıdır. İstemciler, kendilerini diğer ülkelerdeki sunuculara, yerel TGS’leri sayesinde asıllarlar. TGS biletlerinin ömrü, alt yapı kullanıcılara saydam olacak şekilde ayarlanmalıdır. Yani, TGS biletlerinin ömrü, mümkün en uzun oturum açma oturumu kadar olmalıdır. Çünkü süre dolduğunda servis istekleri reddedilecek ve kullanıcı tekrar oturum açmak zorunda kalacaktır. Bilet ömrü genelde 12 saat civarındadır.

SSL Şifreleme ve asıllama ile oluşturulan ve iki süreci birbirine bağlayan haberleşme kanalına, güvenli kanal denir. Özellikleri: Haberleşen süreçler, birbirinin kimliğinden emindir. Mesajların gizliliği ve bütünlüğü garantidedir. En yaygın güvelik kanalı oluşturma yöntemi, SSL protokolünü kullanmaktır. Şifreleme ve asıllama algoritmalarının karşılıklı anlaşılarak seçilmesi. Önceden anlaşmayı ya da üçüncü partilerden destek almayı gerektirmeden güvenli kanalın kurulabilmesi

Servisin Reddi (Denial of Service) Sunuculara sürekli istek göndermek suretiyle sunucunun hizmet kapasitesinin doldurulup kilitlenmesidir. Ağa çok fazla mesaj gönderilerek fiziksel kaynakların (bant genişliği gibi) tüketilmesi, istemcilerin hizmet almasının engellenmesi veya yavaşlatılması da bu tip bir saldırıdır.

Gezici Kod En yaygın gezici kod örneği, applet’lerdir. Bir tarayıcı çalıştırmış olan kullanıcı, kodu web sunucusunda tutulan bir appletin linkini seçerse, kod kullanıcının makinesine indirilerek çalıştırılır; bu makinedeki kaynaklara erişir. Gezici kod, sunucuların yükünü azaltmak açısından avantajlıdır. Ancak kullanıcının kaynaklarına zarar verecek şekilde kötüye kullanılabileceğinden, bir güvenlik tehdididir.