İLETİŞİM AĞI GÜVENLİĞİ

Transkript

1 İLETİŞİM AĞI GÜVENLİĞİ Erhan Görmen Güvenlik Danışmanı Ases Bilgi Güvenlik Teknolojileri Ltd.

2 İletişim Ağı Güvenliği Bilgileri 1 Ne Zaman Güvenlik? Günümüzde, teknolojinin neredeyse tek güç olduğu, hızın herşeye değer olduğu bir dünyada yaşamaktayız. Zaman, özellikle büyük şehirlerde yaşayan, çalışan insanlar için en değerli nesne oldu. Artık hiç bir kaynak kaybına dayanılamayan bir dönemdeyiz. İster insan, ister zaman, ister para Bu nedenle yaptığımız herşeyin daha hızlı, daha güvenilir ve daha belirli yapılmasını istiyor ve işi bilgisayarlara yüklüyoruz. Artık günümüzde elektronik ortam nedir duymayan, bilmeyen kalmadı. Peki ne zaman bir iş elektronik ortamda yapılabilir? Bu sorunun yanıtı küçük gözlemler sonucu rahatlıkla verilebilir. Sözgelimi ne zaman insanları bir kuyrukta bekliyorken görürsek, birini bir kağıda imza atarken görüyorsak ya da ne zaman insan hatası yüzünden bir iş durursa o iş elektronik olarak yapılabilir demektir. Elektronik ortamın bu kadar yaygınlaştığı dünyamızda, doğal olarak sınırlarda kalkıyor. Daha doğrusu kimin sınırı nerede başlıyor, nerede bitiyor bilmek zorlaşıyor. Bir banka şubesinin sınırlarını bilmek son derece kolaydır. Kapıdan gireriz, vezne camı ve onun ardındaki vezneci bizim sınırımızdır. Para çekmek için imzamızı atarız, orijinal imzamızla karşılaştırma yapılır ve paramızı alırız. Elektronik ortamdan bir mal almaya kalktığımızda ne olur? Bilgisayarımızın başına oturup İnternet Servis Sağlayıcı mız ya da şirketimizin ağı üzerinden internete bağlanır, malı almak istediğimiz siteye gider, seçimimizi yapıp, gerekli ödeme bilgilerini girdikten sonra çıkarız. Peki nerede bizim iletişim ağımızdan çıkıp diğer firmanın iletişim ağına gireriz? Arada hangi ağlardan geçtiğimizi, nasıl yönlendirildiğimizi bilebilir miyiz? Elektronik ortamda müşteri sadakati diye bir kavramdan söz etmek oldukça zordur. Bu nedenle bizim iletişim ağımızı sürekli çalışır halde tutmalıyız. Yapılan istatistikler göstermektedir ki ilk 20 saniye içerisinde cevap alamayan internet müşterisi, alternatif bir satıcıya yönelmektedir. Bu durumda iletişim ağımızın sürekliliği en önemli etkenlerden biri haline gelmektedir. Bununla birlikte müşteri kesinlikle en güvenli olduğuna inandığı sitelerden alışveriş yapacak ya da kendine ait bir bilgiyi girecektir. Bilindiği gibi bir posta kartının okunmadan gelme olasılığı ile elektronik postanın okunmadan gelme olasılığı aynıdır. Peki biz böyle bir ortamda nasıl alış-veriş yapar, işimize ait gizli bilgileri istenmeyen kişilerin eline geçirmeden istediğimiz kişilere nasıl göndeririz? 2 Şifreleme Günümüzde iki çeşit şifreleme yöntemi kullanılmaktadır. Simetrik ve asimetrik olarak adlandırılan bu yöntemler aşağıda açıklanmıştır. 2/7

3 2.1 Simetrik Şifreleme Bu yöntemde şifreleme ve çözme işlemleri hızlı yapılabilmektedir. Şifre, veri iletişimi yapan iki kişi arasında özeldir ve oluşturulan bu şifre sürekli olarak kullanılabilir. Her farklı kişi ile konuşma yapmak için farklı şifre yaratılması gereklidir. Oluşturulan şifre iki yönlüdür, yani iki kişinin arasındaki konuşmada, her iki taraf aynı şifreyi kullanarak verileri şifreleyip, şifreli verileri açabilir. A şifreli veri B Bu yönteme aşağıdaki gibi bir örnek verebiliriz: Göndereceğimiz verinin içeriği AHMET ve şifremiz 1,2,3 olsun. Bu durumda dinlenebilecek hat üzerindeki veri; A H M E T B İ Ö F Ü olacaktır. Aynı şifre karşımızdaki kişide de olacağından aldığı veriyi bu şifre ile çözecek ve B İ Ö F Ü A H M E T sonucunu bulacaktır. Böylelikle şifreyi bilmeyen bir kişi hat üzerinde sadece anlamsız karakterlerin dolaştığını görecektir. Simetrik şifrelemede konuşulan her kişi için ayrı bir şifre oluşturulması gerekmektedir. Yani 5 kişinin birbiri ile konuştuğu bir ortamda 10 adet şifreye ihtiyaç duyulur. Aşağıdaki şekilde şifreleme mantığı gösterilmiştir. A B C Şekil 1: Simetrik Şifre Örnek Şeması D E Bu yöntemde ortamda olan şifre sayısı, n adet kullanıcı sayısı olduğu göz önüne alındığında n x (n-1) 3/7

4 2 olarak formülize edilebilir. Buna göre sözgelimi 100 kullanıcının olduğu bir ağ üzerinde 100 x 99 = adet şifre olacaktır. Rahatlıkla anlaşılabileceği gibi bu kadar çok sayıda şifrenin dağıtılması problemler yaratabilecektir. Şu anda piyasada olan DES, IDEA, TripleDES, RC4 ve RC5 gibi şifreleme standartları temelde simetrik şifreleme teorisini kullanmaktadırlar. 2.2 Asimetrik Şifreleme Asimetrik şifreleme yöntemi simetrik şifrelemeye göre yavaş bir yöntemdir. Bu yöntemde kaç kişi ile veri iletişiminde olunduğuna bakılmaksızın, her kişinin sadece iki şifresi vardır. Bunlardan ilki herkesin görüp kullanabileceği bir yerde duran genel anahtar, ikincisi ise birinci şifreyi çözebilen tek algoritma olan özel anahtardır. Güvenli veri iletimi yapmak için karşıdaki kişinin genel anahtarını alıp veriyi bu şifre aracılığı ile şifrelemek yeterlidir. anahtar sadece verinin şifrelenmesinde, özel anahtar ise sadece verinin çözümlenmesinde kullanılır. Özel anahtar kullanıcıya ait olan, sadece ve sadece o kullanıcının sahip olduğu çözüm aracıdır. Bu bir akıllı kartta olduğu gibi başka araçlar içerisinde de olabilir. A Özel Çözülmüş Veri Klasörü Şifreli Veri (A) B Şekil 2: Asimetrik Şifre Örnek Şeması Bu yöntemde genel anahtar herkesin ulaşabileceği bir yerde olacağından şifre dağıtımı problem oluşturmaz. Ayrıca her kullanıcının genel ve özel olmak kaydıyla, iki şifresi olacaktır. Formülizasyonu kolayca belirleyebileceğimiz gibi ortamdaki anahtar sayısı kullanıcının iki katına eşittir. 2 x n Bu yöntemle 100 kişinin bulunduğu bir ağ üzerindeki anahtar sayısı 2 x 100 = 200 4/7

5 adet olmuş olacaktır. 2.3 PKI (Public Key Infrastructure) ve Dijital İmzalar Dijital imza, yazılan mesajın altına asimetrik şifreleme yöntemi kullanılarak isim ve zaman bilgisinin girilmesidir. Bu bilginin içinde bulunan kimlik bilgileri sayesinde, veriyi gönderen kişinin kimliğinin tanınması, doğrulanması, verinin o kişi tarafından gönderildiğinin belgelenmesi sağlanır ve geri dönen verinin kendi gönderdiği veri olduğu kanıtlanır. Gönderilen mesajın altında kontrollerin yapılabilmesi için, mesaj özeti denilen, orijinal mesajın tamamı, 160 bit lik bir özet (hash) haline getirilerek konulur. Bu hesaplanabilir bir bilgi halindedir ve alıcı tarafından aynı işlem tekrarlandığında orijinal rakam elde edilemezse mesaja bir müdahale olduğu anlaşılır. Bunun yanında zaman bilgisi ve kimlik bilgisi bulunmaktadır. Bu verilerden oluşan pakete Dijital İmza Paketi denir. Bu paket, kendi oluşma mantığına ters olarak Özel ile şifrelenir. PKI kullanılan bir yerde bir kişiden bir kişiye mesaj gönderilmesi durumunda aşağıdaki işlemler gerçekleşir: 1. Dijital İmza Paketi gönderenin özel anahtarı ile şifrelenir 2. Gönderilecek mesaj, alıcının genel anahtarı ile şifrelenir 3. Alıcı kendi özel anahtarı ile mesajı çözer 4. Kimlik kontrolü için, gönderenin genel anahtarı ile Dijital İmza Paketi checksum ile kontrol edilir ve sonuç bildirilir 5. Alındı makbuzu ve Dijital İmza Paketi, gönderenin genel anahtarı ile şifrelenir ve alıcı tarafından geri gönderilir 6. Dijital İmza Paketi gönderenin özel anahtarı ile açılır 7. Paket (ya da sonuç) aynı ise, gönderen mesajın kendi gönderdiği mesaj olduğunu ve alıcının okuduğu mesajın kendisinden gittiğini de garantilemiş olur. Mesaj Özet Zaman Kimlik Özel ile Şifrelenmiş Dijital İmza Paketi Şekil 3: Dijital İmzalı Mesaj 2.4 Sertifikalar Bu yöntemde oluşabilecek tehlike, genel anahtarın başka biri tarafından alınarak, yerine yeni bir anahtarın konmasıdır. Bu durumda iki kullanıcı arasındaki trafik üçüncü bir kişi tarafına yönlenmiş 5/7

6 olup, ikinci kişi hiçbirşeyin farkında olmayacaktır. Böyle bir durumun önüne geçmek amacıyla kullanıcılar tarafından alınan genel anahtarlar uluslararası firmalar yardımı ile sertifikalanır. Temel Sertifika Yetkilisi firma, sertifikaladığı genel anahtarın altına kendi sertifikasını koyar ve yukarıda anlatılan şekilde her seferinde genel anahtarın doğruluğu kontrol edilebilir. Bir kişinin dijital imzası sertifikalı hale geldiği zaman bu anahtar başka bir kişi tarafından değiştirilemez ve 2 nedenden ötürü kullanılamaz: 1. Kişiler, diğer kişilerin özel anahtarına sahip değildir. Özel anahtar, herkesin kendisinin sahip olduğu bir kart, bilgisayar ya da fiziksel bir başka cihaz içine konur. Bazı çözümlerde özel şifre fiziksel olarak korunur ve okunamaz. 2. Bir kişi diğer kişinin özel anahtarının bulunduğu cihazı ya da kartı ele geçirse bile giriş şifresini (PIN kodu) bilmemesi nedeni ile kullanamaz. Burada önemli olan özel şifrenin güvenli bir yolla elde edilmesidir. Bunun için farklı yöntemler uygulamak mümkündür. Şifreli bir hat oluşturarak doğrudan makinaya göndermek mümkünken, fiziksel bir cihaza yüklenerek ya da yazılı belge olarak posta ile de gönderilebilir. ınız Temel Sertifika Yetkilisi (TSY) Sertifikanız TSY Sertifikanız Şekil 4: Sertifikanın Alınması TSY ı TSY Özel ınız Katalogu Asimetrik şifreleme yavaş olduğundan gönderilen mesajların mesaj kısmı için simetrik şifreleme yöntemi kullanılır. Her seferinde ayrı bir DES anahtarı (ya da diğer algoritmalar) ile şifrelenen mesajın altına o şifrenin çözücü anahtarı asimetrik şifreleme yöntemi kullanılarak eklenir ve mesajın güvenli bir şekilde istenilen kişiye ulaşması sağlanmış olur. 6/7

7 ABCDEF DES DES ile Şifreleme Şekil 5: Mesaj Şifrelenmesi ABCDEF ile Asimetrik Şifreleme Organizasyondan bir kişi ayrıldığında ya da şifrenin bulunduğu kart çalındığında özel anahtarın iptal edilmesi gerekmektedir. Sertifika Yetkilisi artık geçerli olmayan anahtarların bulunduğu İptal Edilen lar Listesi ni (CRL) periyodik olarak yayınlar. Bir sertifikanın kabul edilmesinden önce bu listeden iptal edilip edilmediğine bakılması gerekir. Bu listelere nereden ulaşılacağı genellikle sertifikalarda yazmaktadır. Burada temel ilkeleri anlatılmaya çalışılan güvenlik uygulamaları, çok çeşitli firmalar sayesinde oldukça geniş bir yelpazeye ulaşmıştır. Bunların arasından kendi güvenliğiniz için en uygununu belirlemek ise, sadece size kalan küçük bir iştir. 7/7