ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI

Transkript

1 ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI *Meriç ÇETİN **Murat AYDOS *Pamukkale Üniversitesi Bilgisayar Mühendisliği Bölümü **TÜBİTAK Ulusal E-imza Sempozyumu 7-8 Aralık 2006 ANKARA

2 GİRİŞ

3 Güvenlik Gereksinimi (AAA) Authentication (Kimlik Doğrulama) Authorization (Yetkilendirme) Accounting (Hesap Oluşturma)

4 Internet Kimlik Doğrulama Hizmeti Internet Kimlik Doğrulama Hizmeti (IAS); IETF tarafından tanımlanan RADIUS (Remote Authentication Dial-in User Service) standardının bir Microsoft uygulamasıdır. IAS, bir RADIUS sunucusu olarak birçok ağ erişim türü için merkezileştirilmiş kimlik doğrulama, yetkilendirme ve hesap oluşturma işlemlerini gerçekleştirir.

5 RADIUS Altyapı Bileşenleri Erişim İstemcileri Kablosuz Erişim Noktası Çevirmeli Sunucusu VPN Sunucusu Erişim Sunucuları (RADIUS istemcisi) RADIUS Proxy si RADIUS Sunucusu Kullanıcı Hesabı Veritabanı

6 IEEE 802.1x Kimlik Doğrulaması İstemci Kablolu ve kablosuz ağlara kimliği doğrulanmış ağ erişimi ve port tabanlı erişim kontrolünü sağlayan bir standarttır. Merkezi kimlik doğrulama, dinamik anahtar yönetimi, hesap oluşturma ve karşılıklı kimlik doğrulama desteği vardır. Veri şifreleme için kullanıcı veya oturum bazında anahtarlar oluşturup anahtarları dinamik olarak değiştirmeyi sağlayarak güvenliği geliştirir. Dağıtım Sistemi Kimlik Doğrulayıcı Kimlik Doğrulama Sunucusu

7 IEEE 802.1x ve Mesaj Değişimi Kimlik Doğrulayıcı Switch İstemci Port connect Ethernet Access blocked Radius Sunucusu EAPOL-Start EAPOL RADIUS EAP-Request/Identity EAP-Response/Identity EAP-Request EAP-Response (credentials) Radius-Access-Request Radius-Access-Challenge Radius-Access-Request EAP-Success Access allowed Radius-Access-Accept

8 Otomatik VLAN Kavramı Otomatik VLAN ataması olarak adlandırılan özellik; 802.1x port kimlik doğrulamasıyla gerçekleştirilir. Kullanıcı 802.1x port kimlik doğrulamasını kullanarak başarılı bir şekilde ağa kendini tanıttığında otomatik olarak kendi VLAN ına yerleştirilir.

9 Otomatik VLAN Örneği EAPOL İstemci Kimlik Doğrulayıcı (AP veya switch) RADIUS sunucusu Kullanıcı DB Internet Hasta VLAN ı Doktor VLAN ı Konuk VLAN ı

10 Kritik Veri İçeren Hastane Ağlarında Güvenlik: PAÜ Hastaneleri Uygulaması

11 Mevcut Sistemdeki Sorunlar Statik VLAN yapılandırmasında yapılabilecek muhtemel hatalar Ağa kişisel bilgisayarlar ile erişimin kontrol ve denetiminin sağlanamaması Etki alanına üye olmayan bilgisayarlara yeni gelişmelerin tek bir noktadan ve kısa zamanda uygulanmasında sorunlarla karşılaşılması Hastane içinde herhangi bir kişinin kullanıcı bilgisayarlarına ve güvenlik duvarı üzerinden izin verilen portlardan da sunuculara erişebilmesi Ağa erişimlerde zamanlama sınırlamasının yapılamaması İstenmeyen kullanıcıların ağa erişimlerinin yerel olarak engellenememesi

12 Çözüm Önerisi Üniversite Hastanesinde karşılaşılan bu problemlerin çözümünde; Otomatik VLAN yapılandırması ve Ağa erişim yapacak tüm kullanıcıların IEEE 802.1x standardı ile kimlik doğrulama işlemlerinin gerçekleştirilmesi yoluna gidilmiştir.

13 Güvenlik Duvarı Yapılandırması

14 Güvenlik Duvarı VLAN Yapılandırması

15 Uygulama Adımları 1. Active Directory Yapılandırması, 2. IAS (Internet Authentication Service) Yapılandırması, 3. Kenar switchlerin kimlik doğrulama switchi olarak yapılandırılması, 4. Otomatik VLAN için omurga ve kenar switchlerin yapılandırılması, 5. İş istasyonlarının PEAP MS-CHAPv2 için yapılandırılması, 6. Sertifika sunucusunun yapılandırılması, 7. Erişim kurallarının yazılması,

16 1.a Active Directory domain yapılandırması

17 1.b Otomatik VLAN yapılandırması için Active Directory gruplarının tasarımı Hastane içinde farklı katlarda bulunan kullanıcı, bilgisayar ve kaynakların aynı Windows grubuna üye edilmesiyle aynı VLAN içinde yer almaları sağlanır. Ayrıca hastane içinde var olan birim ve birime ait alt birimlerin her biri için genel güvenlik grupları oluşturularak bu birimlerde çalışan kişiler ilgili genel güvenlik gruplarına üye edilir.

18 1.c Merkezi denetim için Active Directory gruplarının tasarımı Hastane içinde yer alan kullanıcılar kablolu ve kablosuz olarak ikiye ayrılmak üzere; sadece otomasyon kullananlar (Otomasyon), sadece internet kullananlar (Internet), hem internet hem de otomasyon kullananlar (Genel), ağa hiçbir şekilde kimlik doğrulama yaptırmayanlar (Guest) şeklinde farklı genel gruplara ayrılır.

19 1.d Kullanıcı hesapları için uzak erişim izinlerinin düzenlenmesi Etki alanı içerisinde yer alan kullanıcılar için verilebilecek olan uzak erişim izinleri; Allow Access, Deny Access ve Control Access Through Remote Access Policy şeklindedir. Bu seçenekler kullanıcının yetkilendirilmesi için kullanılır.

20 2) IAS Yapılandırması Etki alanı içinde IAS sunucuları kurulurken her bir etki alanında Birincil ve İkincil olmak üzere ikişer adet RADIUS sunucusu oluşturulur. Tek bir IAS sunucusunun kimlik doğrulama, yetkilendirme ve hesap oluşturma işlemlerinde tek hata noktası olması önlenir ve hataya dayanıklılığı sağlanır. Sunuculardan birinin yedek olarak kullanılmasıyla çok miktardaki kimlik doğrulama ve hesap isteklerinin yükü dengelenmiş olur.

21 3) Kenar Switchlerin Kimlik Doğrulama Switchi Olarak Yapılandırılması Kenar switchlerdeki güvenlik ayarları web ya da telnet üzerinden yapılandırılır. Switch üzerindeki tüm portlarda, kullanıcıların yetkilendirildiği takdirde erişebilmelerini sağlayacak güvenlik ayarları yapılır.

22 4) Otomatik VLAN için Omurga ve Kenar Switchlerin Yapılandırılması Hastane ağı içerisinde Otomatik VLAN yapılandırması için; Omurga Switch üzerinde; tüm VLAN lar ve bunların arayüzleri yaratılır. VLAN arayüzlerine IP adresi atanır. Kat switchlerin bağlı olduğu tüm portların link tipi Trunk olarak ayarlanır. [SW7700] vlan 2 [SW7700] interface vlan-interface 2 [SW7700-vlan-interface2] ip address [SW7700-Ethernet 1/0/1] port link type trunk [SW7700] interface Ethernet 1/0/1 [SW7700-Ethernet 1/0/1] port trunk permit vlan 2 to 100 Kenar Switchler üzerinde; kullanıcıların Hastane içindeki herhangi bir odadan ağa bağlantı kurmak istemeleri göz önüne alınarak tüm kenar switch lerde ağda tanımlı olan VLAN lar oluşturulur.

23 5) İş İstasyonlarının PEAP MSCHAPv2 için Yapılandırılması Etki alanında olmayan bilgisayarların etki alanına alınıp PEAP-MS-CHAPv2 nin grup ilkeleri ile tüm bilgisayarlara uygulanması sayesinde kullanıcıların tek bir işlemde hem Active Directory etki alanına hem de hastane ağına dahil olması sağlanır.

24 6) Sertifika Sunucusun Yapılandırılması Hastane ağında IAS in, etki alanı denetleyicisinin üzerine kurulu olması ve hali hazırda sertifika sunucusu etki alanı denetleyicisi üzerinde var olmasından dolayı sertifika sunucusu kurulumu ile ilgili herhangi bir işlem yapılmamıştır.

25 7) Erişim Kurallarının Yazılması Kimlik Doğrulama ve Yetkilendirme işlemleri, Active Directory deki kullanıcı hesapları özellikleri ile IAS de ayarlanan uzak erişim politikalarına göre yapılır. Uzak erişim politikaları ile kullanıcıya erişim izni verilip verilmeyeceği (Grant, Deny) şayet izin verilecekse gerçekleşen bu bağlantının hangi özelliklere ya da profile sahip olacağı (hangi VLAN da yer alacak, oturum süresi vb.) belirlenir.

26 Kullanıcıların üye oldukları gruba göre yetkilerinin belirlenmesi Otomatik VLAN yapılandırması sonucu belirli VLAN lara yerleşen kullanıcılar, omurga switch üzerinde yazılan erişim listeleriyle ya otomasyon, ya internet ya da her ikisini birden kullanabilir duruma gelecektir.

27 Rol Tabanlı Yetkilendirme 1. Roller tanımlanır Konuk Rolü Doktor Rolü 4. Kullanıcı kimliği doğrulandıktan sonra kullanıcıya rolleri atanır HTTP HTTPS SMTP Allow Allow Allow Allow Allow Allow FTP POP Telnet X X Deny Allow Deny Allow Allow Allow 3. Kimlik doğrulama sunucusu kullanıcıdan emin olmak için kimlik bilgilerinin eşleştirilmesini işlemini gerçekleştirir 2. Kullanıcı kimlik bilgilerini gönderir Doktor Rolü Allow Allow Allow Allow Allow Allow 5. Son olarak kullanıcı filtreleme tablosuna göre hangi uygulamalara erişim hakkı varsa o uygulamaları gerçekleştirebilir hale gelir. Intranet/ Network

28 Kimlik Doğrulama ve Otomatik VLAN a Örnek-1 Valid User VLAN ID: Doktor VLAN QoS Profile: LowP, Web LowP, Hasta Kayıtlarına Ulaşım HighP UserID: Doktor Hasta VLAN ı Doktor VLAN ı User ID: Doktor User ID:? Pwd:?

29 Kimlik Doğrulama ve Otomatik VLAN a Örnek-2 Valid User VLAN ID: Doktor VLAN User ID: Doktor Hasta VLAN ı Doktor VLAN ı UserID: Doktor User ID:? Pwd:?

30 Sonuç Uygulama ile LAN içerisinde risk oranı yüksek verilere sadece yetkili kullanıcıların kendilerine tanınan erişim hakları ile erişmeleri sağlanır. Böylece hem erişim yetkisi olmayan kullanıcıların ağdan uzaklaştırılmasıyla sunucu ardındaki gereksiz trafik önlenmiş olur hem de sistem performansının artırılması sağlanır. Erişim listelerinde belirlenen kurallara göre de hangi adreslerin ağa erişeceği belirlenerek veri trafiği denetim altına alınmış olur. Önerilen çözüm yönteminin uygulamaya konulmasıyla sistemin otomatik olarak tek bir noktadan yönetilebilir hale getirilmesi, otomasyon sisteminin durmaksızın maksimum çalışabilirliği ve kullanılan donanım ve yazılım özelikleri ile birçok uygulamanın senkronize bir şekilde işlerliğini sürdürebilmesi yeteneği öngörülmüştür. Bu sayede ağ kaynaklarına erişimi kontrol etmek, ağa içeriden veya dışarıdan yapılması muhtemel saldırıları engellemek ve önemli bilgilere yalnızca izin verildiği ölçüde, izin verilen yetkili kullanıcıların erişimini sağlamak mümkün kılınır.

31 Uygulama ile ilgili yapılmış çalışmalar M. Çetin, M. Karaman, M. Aydos Risk Oranı Yüksek Veri Yoğunluğuna Sahip Geniş Hastane Ağlarında IEEE 802.1x Standardı ile Ağ Güvenliği ve Otomatik VLAN Yapılandırmaları IV. Bilgitek ve Akademik Bilişim 2006 Sempozyumu, 9-11 Şubat 2006, Denizli. M. Çetin, M. Aydos Otomatik VLAN Yapılandırmalarında IEEE 802.1x Standardı Kullanımının Sistem Performansına Etkisi İletişim Teknolojileri Ulusal Sempozyumu, Çukurova Üniversitesi, Kasım 2005, Adana M. Çetin, S. Altan, ve M. Aydos Kampus Ağlarında İstenmeyen Trafiğin Önlenmesi ve Sistem Performansının Arttırılması 4th International Advanced Technologies Symposium, Eylül 2005, Konya M. Çetin., "Kurumsal Kampüs Ağlarında Otomatik Sanal Yerel Alan Ağ Tasarımları ve Servis Kalitesi Analizleri", PAÜ FBE Yüksek Lisans Tezi, 2006

32 TEŞEKKÜRLER Meriç ÇETİN Pamukkale Üniversitesi Bilgisayar Mühendisliği Bölümü