Windows İşletim Sistemlerinde Yetkilendirme A. Veysel TOPLU İşletim Sistemleri Tasarımı
MS Windows Yetkilendirme Tipleri Kerberos (Kerberos.dll) MIT (Massachusetts Instıtute of Technology ) tarafından tasarlanmış kimlik denetim sistemidir. NTLM LM: Windows NT ailesi işletim sistemleriyle, Windows 3.11/95/98/Millenium Edition işletim sistemlerinin kimlik doğrulamasında kullanılır. NTLM : Windows Server 2003 ailesi için varsayılan iletişim protokolüdür. LM protokolünün zayıflıklarından dolayı kullanılmaya başlanmıştır. Schannel The Secure Sockets Layer (SSL) ve Transport Layer Security (TLS) authentication protokolleri ile kullanılmak üzere tasarlanmıştır. . Digest WDigest (Digest Kimlik Doğrulama Protokolü), HTTP(Hyper Text Transfer Protocol) ve SASL (Simple Authentication Security Layer) protokolleri ile kullanılmak üzere tasarlanmıştır. Gizli bir anahtar kullanarak özet kimlik doğrulaması ve diğer protokollerin güvenli yuva üzerinden aktarımını sağlar.
Windows Authentication SSPI: Security Support Provider Interface, Windows Authentication işleminde kullanılan arabirimdir.
Kerberos SSP Nasıl Çalışır Kerberos doğrulamasının üç farklı ihtiyacı vardır. Anahtar Dağıtım Merkezi ( Key-Distribution-Center/KDC) Kullanıcı ve hesabı İstenilen servisi sağlayan sunucu Anahtar Dağıtım Merkezi, Domain Controller’ın (DC) bir parçası olarak kurulur ve iki farklı görevi vardır. Kimlik doğrulama hizmeti (Authentication Service) Bilet Sağlama Hizmeti (Ticket-Granting Service) * Windows Server 2003 için varsayılan kimlik doğrulama protokolüdür. * Apple Mac OS X de Kerberos'u hem istemci hem sunucu ortamında kullanır.
Kerberos SSP Nasıl Çalışır Kullanıcı ilk olarak kullanıcı kimlik bilgilerini girerek Active Directory Domain Kontrolörüne kullanıcı olduğunu ispatlar. 2) DC, kullanıcı bilgilerini kontrol edip onayladıktan sonra kullanıcıya Bilet-Sağlayan-Bilet (Ticket Granting Ticket) sağlar. (Bu bilet kullanıcıya gönderilmeden önce kullanıcının şifresi ile hash işlemine sokulur. ) 3) TGT ti DC ye gönderdikten sonra DC “Bilet Sağlama Hizmeti”nden Servis biletini alır.
Kerberos SSP Nasıl Çalışır
Kerberos SSP Destekleyen Servisler LDAP(Lightweight Directory Access Protocol) kullanarak Active Directory sorguları RPC çağrıları kullanarak uzak sunucu veya iş istasyonu yönetimi Yazdırma servisleri İstemci-sunucu doğrulaması CIFS/SMB (Common Internet File System/Server Message Block) kullanarak uzaktan dosya erişimi Dağıtılmış dosya sistemi yönetimi ve göndermeleri IIS (Internet Information Services) için Intranet doğrulaması IPSec(Internet Protocol Security) için güvenlik yetkilisi doğrulaması. Domain kullanıcıları ve bilgisayarlar için sertifika servislerine sertifika istekleri
LM Nedir, Nasıl Çalışır Günlük kullanmış olduğumuz şifreler disk üzerinde özet olarak kayıt edilir. Bu özetler iki ayrı şekilde LM ve NTLM olarak tutulup birbiri ile entegre olarak işlem görür ve kimlik doğrulamasını gerçekleştirir. Windows işletim sisteminde ise kullanıcı hesapları ve parolaların şifrelemesinde kullanılan SYSKEY bilgisi SAM (Security Account Manager) dosyasında tutulur. Microsoft işletim sistemleri, eski işletim sistemleri ile iletişim kurması gerekebilmektedir. Bu nedenle, eski sürümlerde olan bazı özellikler(yeni sürümler kendi arasında kullanmadığı halde ) yeni versiyonlara eklenmektedir. LM özeti de, Windows NT ailesi işletim sistemleriyle, Windows 3.11/95/98/Millenium Edition işletim sistemlerinin kimlik doğrulamasında kullanılır LM Şifrelemesinde İzlenen Adımlar Şifrede harf var ise büyük harflere çevrilir. Şifre 14 karakter ise ilk 14 karakteri alınır. 14 karakterden daha kısa ise eksik karakterler yerine boş (null) karakter eklenir. 14 karakterden uzun ise sonuna ‘0’ karakteri eklenir. Şifre 7 karakterlik 2 parçaya bölünür ve her parça sabit bir katarı (string) DES şifreleme algoritmasıyla şifrelemek için anahtar olarak kullanılarak 2 adet özet değeri elde edilir. Oluşturulan 8 byte özet değeri uç uca eklenir ve 16 byte uzunluğunda özet değeri elde edilir.
NTLM Nedir, Nasıl Çalışır LM protokolünün zayıflıklarından dolayı kullanılmaya başlanmıştır. NTLM Şifrelemesinde İzlenen Adımlar 1) Kullanıcı client bilgisayara login olur. 2) İstemci kullanıcı adını açık halde sunucuya göndererek bağlantı kurmak ister. 3) Sunucu istemciye kimliğini ispatlaması için 16 byte’lık rastgele bir sayı yollar. Bu sayıya “challenge” veya “nonce (number used once)” adı verilir. 4) İstemci özel anahtarı (parolasının özeti) ile bu sayının özetini alarak sunucuya cevap verir. 5) Sunucu etki alanı denetleyicisine kullanıcı ismini, bu şifreli sayıyı ve sayının orijinal halini yollayarak etki alanı denetleyicisinin istemci kimliğini doğrultmasını talep eder. Eğer ortamda bir DC yok ise bu adım ve bir sonraki (5.) adım olarak sunucu üzerinde gerçekleşir. 6) İstemcinin özel anahtarına sahip olan etki alanı denetleyicisi, sayıyı (challange) istemcinin özel anahtarı ile özetleyerek daha önceden alınan özet sayı değeri ile karşılaştırır. Sonucu sunucuya gönderir. 7) Sunucu cevabı istemciye bildirir.
NTLM Nedir, Nasıl Çalışır
NTLM SSP Destekleyen Servisler Yazdırma servisleri İstemci-sunucu doğrulaması CIFS/SMB (Common Internet File System/Server Message Block) kullanarak uzaktan dosya erişimi Secure RPC/DCOM-based services
Kerberos VS NTLM Özellikler Kerberos NTLM Açıklama Daha Hızlı Kimlik Doğrulaması Kerberos server üzerinde kimlik doğrulaması için gereken bilgiyi bulundurduğu için daha çabuk doğrulama yapabilmektedir. NTLM’de ise DC ile iletişim kurması gerekir Karşılıklı Kimlik Doğrulama Kerberos karşılıklı kimlik doğrulamasını destekler. NTLM’de ise Client kendi üzerinden doğrulama yaptıktan sonra sunucu ile de doğrulamaya tabi tutar. Akıllı Kart Desteği Kerberos smartcard oturum açma özelliğini desteklemektedir.
Secure Channel (Schannel) SSP Schannel öncelikle güvenli HTTP (HyperText Transfer Protocol ) iletişimi gerektiren Internet uygulamaları için kullanılır. Transport Layer Security (TLS). Secure Socket Layer (SSL) version 3.0. Private Communications Technology (PCT) (Windows 2003 serverdan sonra standart olarak gelmemektedir.) SSL version 2.0.
Secure Channel (Schannel) SSP SSL Çalışma Prensibi 1 Kullanıcı, internet sunucusundan güvenli bir bağlantı isteğinde bulunur, 2 İnternet sunucusu, kullanıcıya sertifikasıyla birlikte açık anahtarını (public key) gönderir, 3 Kullanıcının kullandığı internet tarayıcısı, sunucunun göndermiş olduğu bu sertifikanın güvenilir bir sertifika otoritesinden gelip gelmediğini ve sertifikanın geçerli olup olmadığını kontrol eder, 4 Kullanıcının kullandığı internet tarayıcısı rastgele bir simetrik şifreleme anahtarı üretir. Daha sonra internet sunucusunun açık anahtarını (public key) kullanarak bu simetrik şifreleme anahtarını şifreler ve bağlanmaya çalıştığı internet sunucusuna gönderir, 5 İnternet sunucusu, kendi açık anahtarıyla (public key) şifrelenmiş olan bu mesajı kendi özel anahtarıyla (private key) çözerek simetrik anahtarı elde eder, 6 İnternet sunucusu bundan sonra kullanıcıya göndereceği verileri elde etmiş olduğu bu simetrik anahtarı kullanarak gönderir, 7 Kullanıcı aynı simetrik anahtarla internet sunucusundan gelen verileri çözerek internet sayfasını güvenli bir şekilde görüntüler.
Secure Channel (Schannel) SSP SSL Çalışma Prensibi 1 Kullanıcı, internet sunucusundan güvenli bir bağlantı isteğinde bulunur, 2 İnternet sunucusu, kullanıcıya sertifikasıyla public key gönderir public key kullanarak bu simetrik şifreleme anahtarını şifreler bağlanmaya çalıştığı internet sunucusuna gönderir 6 İnternet sunucusu bundan sonra kullanıcıya göndereceği verileri elde etmiş olduğu bu simetrik anahtarı kullanarak gönderir,
Digest SSP Digest SSP (Wdigest.dll) LDAP ve HTTP gibi belirli uygulamalar için tercih edilen kimlik doğrulama protokolüdür. Internet Explorer (IE) ve Internet Information Services (IIS) erişim. LDAP sorguları.
Genel Bakış
Teşekkürler