Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

HTTP Kullanıcı Asıllama ve Yetkilendirme

Benzer bir sunumlar


... konulu sunumlar: "HTTP Kullanıcı Asıllama ve Yetkilendirme"— Sunum transkripti:

1 HTTP Kullanıcı Asıllama ve Yetkilendirme
Ozan Eren BİLGEN İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Yüksek Lisansı Ağ Güvenliği Dersi Sunumu Ozan Eren BİLGEN

2 Giriş Web’deki bazı kaynaklar herkese açık değildir.
HTTP istekleriyle bu asıllama ve yetkilendirme işleri nasıl gerçeklenir? Apache web sunucusu örneklemesiyle bu ayarlar nasıl yapılır? Ozan Eren BİLGEN

3 Gündem Giriş HTTP Temel (Basic) Yetkilendirme
HTTP Özet (Digest) Yetkilendirme Proxy Sorunları Sertifika Temelli Yetkilendirme Apache: Yetki ve Erişim Sonuç Ozan Eren BİLGEN

4 Genel Bakış HTTP protokolü kullanıcının tanımlanması için bir takım yapılar barındırır. Sunumda bu yapıları ve evrimlerini gerektiren süreçleri inceleyeceğiz. Ozan Eren BİLGEN

5 Sorunun Konumu Web sunucuları genellikle anonim istekleri cevaplarlar ama bazen işler değişir. Şirketler bazı verilerini sadece çalışanlara açabilirler, bazı verileriyse parasını ödemiş müşterilerle paylaşabilirler. HTTP yetkilendirme, mevcut protokol üzerinden bunu sağlamak için tasarlanmıştır. Ozan Eren BİLGEN

6 Seçenekler Gizli URL IP/DNS sınırlaması
Kullanıcı Adı/Şifre eşleştirmesi Ozan Eren BİLGEN

7 Gizli URL www.oebilgen.com/super_gizli.html
Kullanıcılar tarafından paylaşılır. Arama motoru örümcekleri indeksler. Gizlilik güvenlik değildir! Ozan Eren BİLGEN

8 IP/DNS sınırlaması www.oebilgen.com/butun_siteyi_sil.cgi DNS Spoofing
IP Address Takeover Ozan Eren BİLGEN

9 Kullanıcı Adı/Şifre eşleştirmesi
Kişiye özgü sınırlama imkanı. Adım 1: Asıllama (Bilgilerinin alınması) Adım 2: Yetkilendirme (Kaynağa erişim) Şifreler de şifrelenmiş halde tutulmalıdır. htpasswd uygulaması Nasıl yapılacak? Temel yetkilendirme. Özet yetkilendirme. Ozan Eren BİLGEN

10 HTTP Temel Yetkilendirme
İstek: GET /super_gizli.html HTTP/1.0 Cevap: HTTP/ Unauthorized ... WWW-Authenticate: Basic realm=“Pek gizli şifren ne yabancı?” Yeni istek: GET /super_gizli.html HTTP/ Authorization: Basic Yabanci:GizliSifre Base64 HTTP stateless, her seferinde tekrarlanmalı. Çok rahat izlenir, FTP ve Telnet gibi kötü. Ozan Eren BİLGEN

11 HTTP Özet Yetkilendirme
HTTP 1.1 yeniliği. Kullanıcı adı, şifre, rastgele sayı, HTTP metodu ve URL’nin özeti, genelde MD5. Rastegele sayı = Özet(IPC,“:”, TS,“:”, KS) Ek alanlar: Opaque, Algorithm, Domain ve Stale. Özetin içine istenen URL eklenir, böylece en fazla bir adrese erişim ele geçirilir. Ozan Eren BİLGEN

12 HTTP Özet Yetkilendirme (2)
Cevap: HTTP/ Unauthorized ... WWW-Authenticate: Digest realm=“Parola?”, nonce=“3f28a42b9f08ec a38c9fe04121”, 34 harf opaque=“43eaf43b53cf453b4ecf123aaf1cb380”  32 harf Yeni istek: ... Authorization: Digest username=“Yabanci”, realm=“Parola?”, nonce=“3f28a42b9f08ec a38c9fe04121”,  aynısı uri=“/super_gizli.html”, response=“e aa231sbcf647655fd423d594”, 32 harf opaque=“43eaf43b53cf453b4ecf123aaf1cb380”  aynısı Ozan Eren BİLGEN

13 Proxy Sorunları WWW-Authenticate, Authentication-info ve Authorization başlıkları aynen iletilmeli. Dosyalar bellekte tutulmamalı. Aykırı durumlar: must-revalidate: Yetkilendirmeyi proxy yapar. public: Proxy herkese dağıtabilir. Ozan Eren BİLGEN

14 Açıklar ve Öneriler Temel ve Özet, HTTP asıllama ekleri “Man in the middle” saldırısına karşı savunmasızdır. Sunucu şifreleri iyi korumalıdır: Şifre dosyası şifrelerin özetini tutmalıdır. Dosya, veriler şifresizmişçesine korunmalıdır. Realm özgün olmalıdır  sonuna alan eklenir. Rasgele sayı zaman damgası taşımalıdır. Ozan Eren BİLGEN

15 Sertifika Temelli Yetkilendirme
Apache mod_digest’i ekledi ama tarayıcılar HTTPS ile SSL/TLS tercih ettiler. Açık anahtar ile azami güvenlilik: Sertifika temelli yetkilendirme ile sunucuyu sınama imkanı doğdu. X.5009v3 sertifikalarıyla grup tabanlı erişim kontrolü, kullanıcı ayrıntılarıyla uğraşmadan yapıldı. Ozan Eren BİLGEN

16 Apache: Yetki ve Erişim
Kullanıcı gruplarıyla kolay erişim denetimi htpasswd –c /var/www/html/oebilgen oe /var/www/html/oebilgen dosyasının içeriği: oe:RcWasdqed18a3 mavi:DxFw1qr48qlth İlgili klasörde .htaccess dosyasına veya sunucunun access.conf’undaki <Directory> bölümüne. Ozan Eren BİLGEN

17 Apache: Yetki ve Erişim (2)
AuthName “Süper Gizli Bölge” AuthType Basic - AuthType Digest AuthUserFile /var/www/kullanicilar require valid-user - require user oe - yetkili: oe mavi require group yetkili Ozan Eren BİLGEN

18 Apache: Yetki ve Erişim (3)
<Limit> - <Limit POST> require ... </Limit> Çok I/O işlemi: DBM formatı (İndeksli) Apache mod_auth_dbm + dbmmanage kullanicilar.pag: anahtar kullanicilar.dir: değeri Ozan Eren BİLGEN

19 Özet Her bilgi herkese açık değildir ama güvenlik gizlilikle sağlanamaz. Web saldırıları popülerdir ama HTTP Basic Authentication önlemi yetersizdir. Digest Authentication tutulmamış, SSL/TLS kullanılmıştır. Apache’de grup ve kullanıcı temelli sınırlamalar dosya ve klasörlere uygulanabilir. Ozan Eren BİLGEN

20 Dinlediğiniz İçin Teşekküler...
R. Oppliger, “Security Technologies for the WWW”, Artech House, 1999. “HTTP - Hypertext Transfer Protocol”, “Apache HTTP Server Project”, “RFC #2069: HTTP Digest Authorization”, “GDBM – GNU DBM”, Ozan Eren BİLGEN


"HTTP Kullanıcı Asıllama ve Yetkilendirme" indir ppt

Benzer bir sunumlar


Google Reklamları