BİLGİ GÜVENLİĞİ

«Kimlik Doğrulama ve Yetkilendirme»

Yrd. Doç. Malik YILMAZ

Oğuz ŞENER100217002

Bilgi, insanın ilk varoluşundan itibaren elde edilmeye, kullanılmaya ve

üretilmeye çalışılan bir ihtiyaç olarak bilinmektedir.

Türü ne olursa olsun bilgi, insan yaşamını kolaylaştırmak ve hızlandırmak

gayesiyle üretilmiştir.

Gelişen teknolojiyle paralel bir şekilde artan ve büyüyen bilginin de önemi

hızlanmakta ve dünyanın en önemli ihtiyacı olarak güç kazanmaya devam

etmektedir.

Bu denli önemli olan bilginin korunabilirliği hususu ise bilginin güvenliği

için bir takım çalışmalara gereksinim duyulmasına yol açmıştır.

Bilgi güvenliğini, bilginin bir varlık olarak hasarlardan korunması olarak

tanımlayabiliriz.

Bilgiyle birlikte ortaya çıkan bir çok politikalardan olan kimlik doğrulama ve

yetkilendirme politikalarına açıklık getirmeye çalışacağız.

Kimlik Doğrulama(Authentication)

Sistemi kullanmak isteyen kimliğin bilgilerinin, sistemde tutulan

kimlik bilgileri ile doğrulanmasıdır.

Tümleşik Oturum(Single Sign-On, SSO)

Kimlik doğrulama işleminin, ekosistem dahilindeki bütün

uygulamalar için merkezileştirilmesi olarak tanımlanabilir.

Kimlik Yönetim Sistemi(Identity Management System)

Kaynakların, kimlik bilgilerinin saklandığı dizinlerin , kimlik

yetki atamalarının yönetimini sağlayan sistemdir.

Kimliklendirme, Doğrulama, Yetkilendirme

• Kim Giriş İstiyor, Kimliği Doğrumu, Yetkileri Neler ?

• Kimliklendirme; kullanıcının sistemlerde bir kimliğe sahip olması

sürecidir.

•Doğrulama; kullanıcı kimliğinin sistemlerdeki geçerliliğinin

doğrulanması sürecidir.

•Yetkilendirme; kullanıcının geçerliliği doğrulanan kimliğinde

sahip olduğu yetkilerin kullanıcıya atanması sürecidir.

Doğrulama

• Yöntemler

– Kullanıcı Adı / Şifre

– Tek Kullanımlık Şifre Cihazları

– Akıllı Kartlar

– Manyetik Kartlar

– Sertifikalar

– Biyometrik Sistemler

• Çok Faktörlü Doğrulama

– Bildiğiniz Şey (Şifre, Pin)

– Sahip Olduğunuz Şey (Sertifika, Akıllı Kart, OTP Cihazları)

– Olduğunuz Şey (Biyometrik Sistemler)

Doğrulama Yöntemleri

• Şifreler

– Düz Şifre, Şifre Karmaşıklığı, Şifre Politikaları

• Ardışık Sorularla Doğrulama

• Tek Seferlik Şifre Cihazları

– Senkron (eş zaman-eşgüdüm)

– Asenkron

• Biyometrik Sistemler

– Parmak izi, El geometrisi, Avuç içi, İris, Retina, Ses, Klavye

Hareketi

– Kullanıcıların Kabulü, Yaş, Cinsiyet, Fiziksel Engeller

Merkezi Doğrulama

• Sorun : Çok sayıda kullanıcı, çok sayıda kullanıcı hesabı, birçok

şifre, çok sayıda sistem ve ağ servisi

• Merkezi doğrulama, tek bir sistemde kullanıcı kimliklerinin

bulunması, ağ ve sistem servislerinin doğrulamayı bu sistem

üzerinden yapması sürecidir.

• Kullanıcı sadece merkezi doğrulama sunucusuna giriş yapar, istekte

bulunduğu sistem ve ağ servisleri kullanıcının geçerliliğini merkezi

doğrulama sistemine sormaktadır.

• Kerberos, SESAME, Krypto Knight (IBM) ve NetSP, Thin Client

ULAKBİM;

Kimlik Doğrulama

Kullanıcı adı + parola + diğer bilgilerin doğruluğu

Yetkilendirme

Servise erişim yetkisi kontrolü

olarak tanımlamaktadır…

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

Dezavantajları

-Kullanıcı açısından parola yönetimi

-Yönetim ve bakım için harcanan işgücü

Avantajları

-Uygulaması kolay

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( Single Sign-On)

Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları

Tek Oturum Açma ( Single Sign-On)

• Avantajları– Kullanıcı bilgileri kurum içinde ( Kısmen )– Kullanıcılar açısından parola yönetimi kolay– Sistemci açısından kimlik yönetimi kolay– İşgücü ve maliyet düşük

• Dezavantajları– Tek bir TOA (SSO) sunucusu kullanmak– Uygulamadaki zorluklar

Akıllı Kart Destekli Web Kimlik Doğrulama ve Yetkilendirme Yazılımı

Web tabanlı uygulamalarda klasik kimlik doğrulama olarak bilinen

kullanıcı adı ve şifre kontrollü giriş yerine, daha güvenli olan akıllı kart

destekli kimlik doğrulaması sağlayan bir çözümdür. Klasik kimlik

doğrulama işleminde, giriş için kullanılan kullanıcı adı ve parola ikilisi

çoğunlukla statik ve kullanıcı dışındaki kişiler tarafından ele

geçirilebilecek bilgilerdir. Buna karşılık akıllı kart destekli kimlik

doğrulama işleminde, doğrulama bilgileri sürekli değişmekte ve

donanıma bağımlı hale getirilerek başkalarının erişimi

kısıtlanmaktadır.

E-imza Bilişim’in sunduğu ve java applet olarak yapılandırılan Akıllı

Kart Destekli Kimlik Doğrulama Kütüphanesi ile platformdan

bağımsız çalışabilme imkânı bulunmaktadır. Bir başka ifade ile

kurumun mevcut sisteminde var olan uygulamalarda herhangi bir

değişikliğe gerek yoktur. Kullanımı ve yönetimi kolay olan bu çözüm

sayesinde her türlü web tabanlı uygulama ve java tabanlı masaüstü

yazılım güvenli kimlik doğrulamalı hale getirilebilmektedir.

Kimlik Federasyonu Kavramı

• Kimlik Federasyonu ;– Belirli bir kural seti,– Teknik Standartlar,

altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar.

Böylece ; • Farklı altyapıların birlikte çalışabilmesi,• Altyapılar arası güvenin sağlanması,• Etki alanlarındaki servislerin ağ dışına da açılması,

gibi isteklere çözüm getirir.

ULAKAAI– ULAKNET içerisindeki kdy sistemlerinin birleşmesini,

– Elektronik kaynakların ve servislerin tüm etki alanıyla

paylaşılabilmesini,

sağlamak amacıyla kurulmuş kimlik federasyonudur.

ULAKAAI Kimlik Federasyonu ( Pilot )

ULAKAAI Kimlik Federasyonu

Federasyonsuz KDY

1) Erişebilir miyim?2) Yetkin Var mı????

3) Kullanıcı adı ve Parola Versem?Servis SağlayıcıKimlik Sağlayıcı

• Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor• Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip• Kurumların değerli bilgileri, servislere dağıtılıyor

Federasyonlu KDY

3) Yetkim Var mı?1) Erişebilir miyim?

2) Yetkin Var mı?

Servis SağlayıcıKimlik Sağlayıcı4) Kimlik Bilgileri ve Yetkileri

• Kullanıcı kimlik bilgileri kurum içerisinde kalıyor• Servis Sağlayıcı sadece ihtiyacın olanı biliyor• Dağıtılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

Kimlik doğrulama ve yetkilendirme hususunda kurum ve kuruluşların genel

politikaları:

1. Bilgi sistemleri üzerinden gerçekleşen işlemler için uygun bir kimlik doğrulama

mekanizması kurulur. Hangi kimlik doğrulama tekniklerinin kullanılacağına, üst düzey

yönetim tarafından yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk

değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin

türü (tipi, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü

gibi), işleme konu verinin hassaslık derecesi ve kimlik doğrulama tekniğinin kullanım

kolaylığı da göz önünde bulundurularak gerçekleştirilir.

2. Uygulanacak kimlik doğrulama mekanizması, müşterilerin ve personelin bilgi

sistemlerine dâhil olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına

kadar geçecek tüm süreci kapsayacak şekilde tesis edilir. Kimlik doğrulama bilgisinin

oturumun basından sonuna kadar doğru olmasını garanti edecek gerekli önlemler

alınır.

3. Bilgi sistemlerine erişim için kullanılan kimlik doğrulama verilerinin tutulduğu

veri tabanlarının güvenliğini sağlamaya yönelik gerekli önlemler alınır. Bu amaçla

alınacak önlemler asgari olarak kimlik doğrulama verilerinin veri tabanlarında

şifreli olarak muhafaza edilmesi, yapılacak her türlü kontrolsüz değişikliği

algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve bu

denetim izlerinin güvenliğinin sağlanması hususlarını içerir. Ayrıca bu veriler

kimlik doğrulama amacıyla aktarılırken şifrelenir ve verilerin aktarımı sırasında

gizliliğinin sağlanmasına yönelik önlemler alınır.

4. Ayrıcalıklı yetkilere sahip kullanıcı ve sistem hesapları için ek denetim izleri

tutulur ve periyodik olarak gözden geçirilir.

5. Ayrıcalıklı yetkilere sahip kullanıcılar, yetkilerinin başka kişilerce kullanımının

önlenmesinin önemi konusunda yeterli düzeyde bilinçlendirilir.

6. Acil durumlar için, yetkili personele ulaşılamaması nedeniyle geçici olarak

gerçekleştirilen yetkilendirmelerde, bu yetkilendirme süresince gerçekleştirilecek

işlemlerin yeterli düzeyde takibine izin verecek şekilde detaylı denetim izlerinin

tutulması sağlanır.

7. Bilgi sistemleri alt yapısına yönelik yetkisiz fiziksel ve mantıksal erişimleri

engelleyecek kontroller ve gözetim süreçleri tesis edilir.

SORU VE ÖNERİLER ?

TEŞEKKÜRLER