Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

HTTP Kullanıcı Asıllama ve Yetkilendirme

YayınlayanHeike Salzmann Değiştirilmiş 6 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "HTTP Kullanıcı Asıllama ve Yetkilendirme"— Sunum transkripti:

1 HTTP Kullanıcı Asıllama ve Yetkilendirme
Ozan Eren BİLGEN İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Yüksek Lisansı Ağ Güvenliği Dersi Sunumu Ozan Eren BİLGEN

2 Giriş Web’deki bazı kaynaklar herkese açık değildir.
HTTP istekleriyle bu asıllama ve yetkilendirme işleri nasıl gerçeklenir? Apache web sunucusu örneklemesiyle bu ayarlar nasıl yapılır? Ozan Eren BİLGEN

3 Gündem Giriş HTTP Temel (Basic) Yetkilendirme
HTTP Özet (Digest) Yetkilendirme Proxy Sorunları Sertifika Temelli Yetkilendirme Apache: Yetki ve Erişim Sonuç Ozan Eren BİLGEN

4 Genel Bakış HTTP protokolü kullanıcının tanımlanması için bir takım yapılar barındırır. Sunumda bu yapıları ve evrimlerini gerektiren süreçleri inceleyeceğiz. Ozan Eren BİLGEN

5 Sorunun Konumu Web sunucuları genellikle anonim istekleri cevaplarlar ama bazen işler değişir. Şirketler bazı verilerini sadece çalışanlara açabilirler, bazı verileriyse parasını ödemiş müşterilerle paylaşabilirler. HTTP yetkilendirme, mevcut protokol üzerinden bunu sağlamak için tasarlanmıştır. Ozan Eren BİLGEN

6 Seçenekler Gizli URL IP/DNS sınırlaması
Kullanıcı Adı/Şifre eşleştirmesi Ozan Eren BİLGEN

7 Gizli URL www.oebilgen.com/super_gizli.html
Kullanıcılar tarafından paylaşılır. Arama motoru örümcekleri indeksler. Gizlilik güvenlik değildir! Ozan Eren BİLGEN

8 IP/DNS sınırlaması www.oebilgen.com/butun_siteyi_sil.cgi DNS Spoofing
IP Address Takeover Ozan Eren BİLGEN

9 Kullanıcı Adı/Şifre eşleştirmesi
Kişiye özgü sınırlama imkanı. Adım 1: Asıllama (Bilgilerinin alınması) Adım 2: Yetkilendirme (Kaynağa erişim) Şifreler de şifrelenmiş halde tutulmalıdır. htpasswd uygulaması Nasıl yapılacak? Temel yetkilendirme. Özet yetkilendirme. Ozan Eren BİLGEN

10 HTTP Temel Yetkilendirme
İstek: GET /super_gizli.html HTTP/1.0 Cevap: HTTP/ Unauthorized ... WWW-Authenticate: Basic realm=“Pek gizli şifren ne yabancı?” Yeni istek: GET /super_gizli.html HTTP/ Authorization: Basic Yabanci:GizliSifre Base64 HTTP stateless, her seferinde tekrarlanmalı. Çok rahat izlenir, FTP ve Telnet gibi kötü. Ozan Eren BİLGEN

11 HTTP Özet Yetkilendirme
HTTP 1.1 yeniliği. Kullanıcı adı, şifre, rastgele sayı, HTTP metodu ve URL’nin özeti, genelde MD5. Rastegele sayı = Özet(IPC,“:”, TS,“:”, KS) Ek alanlar: Opaque, Algorithm, Domain ve Stale. Özetin içine istenen URL eklenir, böylece en fazla bir adrese erişim ele geçirilir. Ozan Eren BİLGEN

12 HTTP Özet Yetkilendirme (2)
Cevap: HTTP/ Unauthorized ... WWW-Authenticate: Digest realm=“Parola?”, nonce=“3f28a42b9f08ec a38c9fe04121”, 34 harf opaque=“43eaf43b53cf453b4ecf123aaf1cb380”  32 harf Yeni istek: ... Authorization: Digest username=“Yabanci”, realm=“Parola?”, nonce=“3f28a42b9f08ec a38c9fe04121”,  aynısı uri=“/super_gizli.html”, response=“e aa231sbcf647655fd423d594”, 32 harf opaque=“43eaf43b53cf453b4ecf123aaf1cb380”  aynısı Ozan Eren BİLGEN

13 Proxy Sorunları WWW-Authenticate, Authentication-info ve Authorization başlıkları aynen iletilmeli. Dosyalar bellekte tutulmamalı. Aykırı durumlar: must-revalidate: Yetkilendirmeyi proxy yapar. public: Proxy herkese dağıtabilir. Ozan Eren BİLGEN

14 Açıklar ve Öneriler Temel ve Özet, HTTP asıllama ekleri “Man in the middle” saldırısına karşı savunmasızdır. Sunucu şifreleri iyi korumalıdır: Şifre dosyası şifrelerin özetini tutmalıdır. Dosya, veriler şifresizmişçesine korunmalıdır. Realm özgün olmalıdır  sonuna alan eklenir. Rasgele sayı zaman damgası taşımalıdır. Ozan Eren BİLGEN

15 Sertifika Temelli Yetkilendirme
Apache mod_digest’i ekledi ama tarayıcılar HTTPS ile SSL/TLS tercih ettiler. Açık anahtar ile azami güvenlilik: Sertifika temelli yetkilendirme ile sunucuyu sınama imkanı doğdu. X.5009v3 sertifikalarıyla grup tabanlı erişim kontrolü, kullanıcı ayrıntılarıyla uğraşmadan yapıldı. Ozan Eren BİLGEN

16 Apache: Yetki ve Erişim
Kullanıcı gruplarıyla kolay erişim denetimi htpasswd –c /var/www/html/oebilgen oe /var/www/html/oebilgen dosyasının içeriği: oe:RcWasdqed18a3 mavi:DxFw1qr48qlth İlgili klasörde .htaccess dosyasına veya sunucunun access.conf’undaki <Directory> bölümüne. Ozan Eren BİLGEN

17 Apache: Yetki ve Erişim (2)
AuthName “Süper Gizli Bölge” AuthType Basic - AuthType Digest AuthUserFile /var/www/kullanicilar require valid-user - require user oe - yetkili: oe mavi require group yetkili Ozan Eren BİLGEN

18 Apache: Yetki ve Erişim (3)
<Limit> - <Limit POST> require ... </Limit> Çok I/O işlemi: DBM formatı (İndeksli) Apache mod_auth_dbm + dbmmanage kullanicilar.pag: anahtar kullanicilar.dir: değeri Ozan Eren BİLGEN

19 Özet Her bilgi herkese açık değildir ama güvenlik gizlilikle sağlanamaz. Web saldırıları popülerdir ama HTTP Basic Authentication önlemi yetersizdir. Digest Authentication tutulmamış, SSL/TLS kullanılmıştır. Apache’de grup ve kullanıcı temelli sınırlamalar dosya ve klasörlere uygulanabilir. Ozan Eren BİLGEN

20 Dinlediğiniz İçin Teşekküler...
R. Oppliger, “Security Technologies for the WWW”, Artech House, 1999. “HTTP - Hypertext Transfer Protocol”, “Apache HTTP Server Project”, “RFC #2069: HTTP Digest Authorization”, “GDBM – GNU DBM”, Ozan Eren BİLGEN

"HTTP Kullanıcı Asıllama ve Yetkilendirme" indir ppt

Benzer bir sunumlar

Bilgisayar Ağları ve İnternet

Bilgisayar Ağları ve İnternet
WEB TASARIM Temel Kavramlar.

WEB TASARIM Temel Kavramlar.
Özel Site.NET İnternet Nedir? Soner Sevindik.

Özel Site.NET İnternet Nedir? Soner Sevindik.
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.

IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
İNTERNET VE BİLGİ AĞLARININ KULLANIMI

İNTERNET VE BİLGİ AĞLARININ KULLANIMI
Filezilla Client & Server

Filezilla Client & Server
 Ofis dışından erişim  Kurulum gerekmez  Internet Explorer, Mozilla FireFox, Google Chrome, Safari üzerinden çalışma  Sade ve basit arayüz Web Avantajları.

 Ofis dışından erişim  Kurulum gerekmez  Internet Explorer, Mozilla FireFox, Google Chrome, Safari üzerinden çalışma  Sade ve basit arayüz Web Avantajları.
E-TİCARET.

E-TİCARET.
HTTP’yi (istemci tarafı) kendi kendinize deneyin

HTTP’yi (istemci tarafı) kendi kendinize deneyin
İNTERNET.

İNTERNET.
YARDIM MASASI http://yardimmasasi Internet Explorer tarayıcısı açılır ve Yardım Masası adresi yazılarak http://yardimmasasi sayfası açılır. Gelen.

YARDIM MASASI Internet Explorer tarayıcısı açılır ve Yardım Masası adresi yazılarak sayfası açılır. Gelen.
Ünite 12 INTERNET’İN ALT YAPISI

Ünite 12 INTERNET’İN ALT YAPISI
3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.

3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.
İÇERİK Ağ İzleme Ağ güvenliği için Tehlikeli Protokoller

İÇERİK Ağ İzleme Ağ güvenliği için Tehlikeli Protokoller
VEKİL SUNUCULAR VE GÜVENLİK DUVARLARI

VEKİL SUNUCULAR VE GÜVENLİK DUVARLARI
Kullanıcı Erişimi Yönetim Sistemi İTÜ/KEYS

Kullanıcı Erişimi Yönetim Sistemi İTÜ/KEYS
3. HTTP.

3. HTTP.
İNTERNET VE BİLGİ AĞLARININ KULLANIMI

İNTERNET VE BİLGİ AĞLARININ KULLANIMI
Proxy-DNS Nedir?.

Proxy-DNS Nedir?.
AĞ PROTOKOLÜ.

AĞ PROTOKOLÜ.

Benzer bir sunumlar

Google Reklamları