Güvenlik

Disabling SYSKEY

2008-05-03T19:29:11Z

Tarihçeyi biraz araştırdığımızda karşımıza 1999 yılında BindView adında bir security teamin SAM databaseinin yapılacak cryptanalytic ve brute force ataklar ile kırılabileceğine dikkat çekiyor ve Microsoft ile beraber bu problemi fixlemek için “Syskey Bug” adında bir proje çıkartıyorlar. Proje sonrasında SAM Database içerisinde ki hashlenmiş passwordler 128 bit ile şifrelenerek izinsiz database erişimlerinin önüne geçilmek hedeflenmiş.

Şimdi amacımız enable edilen syskey sonrası unutulan şifreyi geçersiz kılmak. Lamer based sayfalara baktığınızda çok basit bir vb code;

Private Sub Command1_Click()
Shell "SYSKEY.EXE", vbNormalFocus
SendKeys "G", 1
SendKeys "B", 1
SendKeys "{TAB}", 1
SendKeys "danger", 1
SendKeys "{TAB}", 1
SendKeys "danger", 1
SendKeys "{ENTER}", 1
SendKeys "{ENTER}", 1
SendKeys "{ENTER}", 1
MsgBox "HaHa"
Unload Me

End Sub

Private Sub Command2_Click()
Command2.Visible = False
End Sub

ile aktif olan syskey sonrası kullanılmaz hale gelen sistemi tek çözüm olarak görülen formattan kurtarmak.

İlk olarak Syskeyi aktif hale getirelim ve seçenekleri inceleyelim. İzleyeceğimiz yol;

Seçenekleri görmek için Update diyoruz,

Syskey bizden Startup Key belirlememizi istiyor. İlk yöntem Password Startup sistem her açılışında bizden belirleğimiz şifreyi isteyecek. Yaratılacak şifreleri sisteme bırakmak isterseniz 2 seçeneğimiz var;

Store Startup Key On Floppy Disk;

Keyleri Floppy Diske yerleştirip her sistem açılışında bizden Disk istemesini bekleyebiliriz veya

Store Startup Key Locally; Yaratılan keyin sistemde durmasını ve açılışta bizden herhangibir atraksiyon istemesin.

Password Startup ile yola devam edelim.

Şimdi sistemi restart ettiğimizde Logon bilgisinden önce bize startup Passwordun sorulduğunu göreceğiz. Bu keyi doğru yanıtlamak için 3 şansımız var eğer şifreyi 3 kez ard arda yanlış girerseniz sistem güvenlik önlemi olarak kendini restart edecektir.

Senaryoları inceleyelim; Verdiğimiz passwordu unuttuk veya kötü huylu bir code calıştırdık ve bu ekran ile karşılaşıyoruz. Çözüme bakalım;

İlk iş olarak syskey bazort adını verdiğim bootable bir cd ile makinayı başlatıyoruz

Sistem boot oluyor...

Eğer farklı partitionlarda kurulumunuz var ise “a” ile partition bilgisi alabilirsiniz Ben enter ile devam ediyorum.

2. soru ise Registry directory bilgimin nerede olduğu şu anda yazan path uygun enter ile devam ediyorum.

Isteğim nedir? 1 numara zaten seçili durumda enter ile devam ediyorum.

En can alıcı soru 2 Numara ile Syskey durumunu değiştiriyorum.

Artık tek yapmanız gereken onaylamak

Onayladıktan sonra bize eğer unutulmuş bir administrator password var ise bunuda şimdi değiştirebileceğim konusunda uyarıyor. Adımları izleyerek administrator passwordunude resetlemeyi unutmayın!!. Son olarak değişiklerin üzerine yazılması için hala geç olmadığını vazgeçebileceğimizi belirtiyor umursamıyoruz “y” ile yola devam ediyoruz.

Pcyi restart edebiliriz artık. Tekrardan açtığımızda artık direkt muhattabınızın logon ekranı olduğunu göreceksiniz.

Anlatılan yöntem tamamıyle çalışmakla birlikte yaptığım bazı denemelerde database’in zarar gördüğü ve sistemin açılamaz konuma geldiğini gördüm. Bu nedenle denemelerinizi lab ortamında yapmak mantıklı olan. Veya unutulan şifre sonrası son yol olarak benimsenmesini tavsiye ediyorum.

Herseye rağmen syskeyin şiddetle önerildiğini ve sisteminizi syskey ile korumanızın akıllı bir yol olduğunu unutmayın.

SMART CARD UYGULAMALARI – II (VPN)

2008-04-29T11:56:41Z

Bir önceki makalemizde SmartCard’ın temel kurulum bilgileri ve Session logon yapabilmemiz için gerekli sertifika ayarlarını, sertifikanın smartcard’a yüklenmesi konusunu incelemiştik. Şimdi ise, uzak güvenli bağlantıların smartcard aracılığı ile sağlanması için “VPN with Smartcard” adlı konuyu incelemek istiyorum.

Özellikle birçok kullanıcısının farklı coğrafi alanlarda bulunduğu şirket networklerine uzaktan alternatif bir erişim , VPN’in smartcard aracılığı ile yapılmasıdır.

Bunun için sahip olmamız gereken topoloji , Windows 2003 domain yapımızda bulunan CA otoritesi ve bir de VPN bağlantılarını karşılayacak olan RAS sunucudur.

Öncelikle RAS Vpn sunucumuza gerekli computer sertifikasını alarak işe başlayabiliriz..

Bunu yapmak için sunucu üzerinde certificates snap-in’i kullanıyoruz.

Computer sertifikasını hazır template’lerden alabileceğimiz gibi, kendimiz de sunucuya özel bir sertifika olarak hazırlayabiliriz. Bunun için gerekli uygulama amacı “Server Authentication” olan bir sertifika yaratmaktır.

Sertifikayı aldıktan sonra RAS sunucumuzu VPN hizmeti için yapılandırıyoruz.

Sunucu yapılandırıldıktan sonra makinanın sahip olduğu sertifikayı kontrol ediyoruz.

Sunucunun ayarlarına gelip Security Tab’ında bulunan authentication methods kısmında Sertifika ile bağlantıları sağlayabilmek için gerekli EAP protokolünü seçiyoruz. Bunun yanında, EAP’ın PPTP bağlantıları için kullanacağı metodlardan “smartcard or other certificate” ‘in seçili olması gerekiyor.

Sunucu tarafındaki ayarlardan sonra, client tarafının ne şekilde yapılandırılacağını inceleyelim. Burada belirtmek istediğimiz bir husus, clientların herhangi bir yerden şirket network’une bağlanmak istediğinde bu ayarları yapabiliyor nitelikte bilgiye sahip olmaları gerekliliğidir.

Yeni bağlantı sihirbazı ile VPN bağlatı tipini seçiyoruz, ve istenilen sunucu adres bilgisini girerek vpn bağlantı sihirbazını sonlandırıyoruz.

Bağlantının özelliklerine geldiğimizde Security sekmesindeki güvenlik ayarlarını “Advanced (custom settings) ‘i seçerek değiştiriyoruz ve “settings” kısmına geldiğimizde ,

Logon Security bölümünde “ Use EAP” seçeneği ile birlikte “smartcard or other certificates” ‘i seçiyoruz ve hemen ardından bu kısımdaki Properties’i de editlemek üzere açıyoruz ,

Karşımıza çıkan yeni pencerede “Use my Smartcard” seçeneği default olarak seçili olduğundan, burada herhangi bir değişiklik yapmıyoruz. Gerekli değişiklikleri makalenin sonunda inceleyeceğimiz “sertifika ile Vpn” bölümünde yapacağız.

Şimdi ise smartcard’ın sisteme takılmasını ve VPN bağlantısının gerçekleştirilmesini inceleyelim,

burada belirmek isteriz ki , smartcard okuyucu cihazın driver’ları ile birlikte client’ın üzerinde yüklü olması gerekiyor ve daha önceden şirketimiz CA sunucusundan yüklemiş olduğumuz sertifikanın smartcard’ımızda bulunması gerekiyor. Bu işlemlerin nasıl yapıldığı konusunu halihazırda I. Makalemizde incelemiştik.

Aşağıdaki şekilde, yukarıdaki EAP bağlantı ayarlarını tamamladıktan sonra VPN bağlantısına Connect dediğimizde karşımıza çıkan pencere görülmektedir, elbette herhangi bir username ve parola sormamakla beraber, bize authentication için gerekli olan tek şeyin smartcard olduğunu hatırlatıyor ve kartı takmamızı istiyor.

“Accessing Smartcard” mesaji görüntülenirken biz details’e bastığımızda o andaki okuyucuda takılı olan smartcard’ı ve kart bilgilerini görüntülemektedir.

“OK” diyerek bağlantıyı gerçekleştirmek istediğimizde Smartcard’ın yerel bir güvenlik ilkesi olan PIN sorgulaması karşımıza gelmektedir, burada kart PIN numaramızı girerek devam ederiz.

Sonunda kimlik doğrulanarak bağlantımız sağlanır..

Bağlantı bilgilerini incelediğimizde Authentication Method olarak EAP’ın kullanıldığını teyid edebiliriz.

SmartCard’ın kullanım alanlarından birisi olan VPN’i de kısaca incelemiş olduk.

Kullanıcılarımızın bu tür yapılandırmalarda yaşayacakları zorluk bir tarafa, sürekli dolaşımda oldukları lokasyonlardan şirket network’ümüze güvenli bağlantılar oluşturmak istediklerinde ve bu yer değiştirilen lokasyonlardan ayrıldıklarında kendilerine ait birtakım security unsurlarını orada unutmak istemiyorlar ise, smartcard VPN seçeneği alternatif bir yol olarak kullanılabilir.

Buraya kadar geldiğimizde VPN bağlantısının sertifika ile yapılmasına da değinmek istiyorum,

Client’ımızın EAP ayarlarına geldiğimizde biz smartcard için “use my smartcard” seçeneğini kullanmıştık, şimdi ise “Use certificate... “ seçeneği ile bağlantının yerel makinada bulunacak olan sertifika ile yapılmasını sağlayacağız.

Bunun icin otorite’den alacağımız user sertifikası yeterli olacaktır. Sertifikayı almadan önce yukarıdaki şekilde görebileceğimiz gibi, şirketimizin sertifika otoritesi Trusted Root listesinde bulunmamaktadır. Bu noktada Validate Server certificate seçeneğini kullanamayız,

User sertifikasını alıp install ettikten sonra ise ;

Aşağıdaki güvenlik uyarısını alacağız,

Tabii ki client’ların şirket dışında olacağını ve active directory yapımızda olmadıkları için alınacak bir sertifikanın trusted root container’ına gelemeyeceğinden dolayı, bize aşağıdaki güvenlik uyarısını vermektedir , ve onayladığımız takdirde ilgili sertifika client üzerinde Trusted root’a eklenecektir.

Şu anda “Validate Server certificate” seçeneği ile CA otoritesi teyid edilebilecektir. Görüldüğü gibi bizim ADNCA isimli CA’imiz listede yer almaktadır.

İlgili ayarları tamamladıktan sonra aşağıdaki pencerede karşımıza çıkan sertifika ile bağlantı ve kullanıcı adı bilgilerini kontrol edebiliriz. Burada farklı kullanıcıların bağlanabilmesi için yukarıdaki “smartcard or other certificates” bölümünde en altta bulunan “ use different username for this connection “ ile farklı kullanıcı bağlantılarını ayrıca sağlayabiliriz. Bunun için her bir kullanıcı için kendilerine ait bir sertifikanın yüklü olması gerekiyor.

Bağlantı ikonuna tıkladığımızda ise, username ve password sorgusundan arınmış tertemiz bir vpn penceresi karşımıza çıkmaktadır..

Bir sonraki makalede görüşmek dileğiyle..

SMART CARD UYGULAMALARI - I

2008-04-29T11:49:24Z

Güvenliğin günümüzde bir “extra” olmaktan çıkıp zorunluluk haline gelmiş olması bizleri birçok uygulamayı kullanmada zorunlu hale getirmektedir. Bunlardan en önemlisi ise authentication uygulamalarıdır. Yıllar öncesinin windows NT’lerine, Novell Netware sunucularına oturum açıp logon olsaydık düşünürdük authentication’ın da uygulaması mı olur diye.. veya halen sorabiliriz insanların Smartcard diye tabir edilen kartları sadece banka ATM’lerine logon olurken kullandıkları birer hesap kartı veya kredi kartı olmaktan öteye gidebileceğini.

Fakat işletim sistemleri günümüzde bizlere bu imkanları sunmanın yanısıra, sınırlarımızı zorlayabileceğimiz uygulamalara ev sahipliği yapacak kadar cömert bulunuyorlar. Örnek olarak Windows 2000 ile gelen Certification Authority sayesinde sistemlerimizi birer erişim yönetim merkezi haline getirebilmekteyiz. Veya kurumumuza ait kişiselleştirilebilir sertifika yaratarak , daha önceden var olmayan bir sertifika modelini hazırlayıp sunarak çeşitliliği arttırabilmekteyiz.

Belirttiğimiz gibi, geleneksel login/logout ile sistemlere erişim günümüzde Multifactor Authentication ile zenginleştirilmiş olup SmartCard, Biometrik aygıtlar (retina okuyucu,voice,parmak izi okuyucu) veya donanımsal şifreleme cihazları ile en üst seviyede güvenliği sunmaktadırlar. Fakat bunlardan birçoğu halen uygulama zorluğu,maliyet vb.nedenlerle tercih edilme oranı düşük bulunmaktadır. SmartCardlar ise bizi bu geleneksellikten bir üst safhaya taşıyacak en yakın araçlardır.

Şekil 1: IBM ile ünlü Smartcard üreticisi Gemplus’ın müşterek ürettiği Smartcard Security Kit

Uygulama alanlarına gelecek olursak; uzaktan erişim (vpn örneği) , Terminal server erişimi, E-mail client erişimleri, software kod imzalama, web browser erişimleri ve domain logon şeklinde sıralayabiliriz.

Biz bu yazı dizimizde ilk etapta windows Server 2003 ailesinde smart card kullanımı için altyapıyı hazırlayacak ve domain logon olabilmemiz için gerekli smart card uygulamasını gerçekleştireceğiz, diğer makalede ise smart card’ın şirketimize uzak bir bölgeden erişim ihtiyacımız halinde bize PPTP VPN tüneli ile EAP protokolünü kullanarak sertifika tabanlı erişimi sağlayacağı uygulamayı ve son makalede ise Smart card’ın bir Exchange mail sunucuya bağlanıp mail alıp verirken authentication’ı nasıl sağladığına ilişkin bir uygulama yapacağız.

............

SmartCard / Domain Logon

Bu uygulama için Domain yapımızda ihtiyacımız duyacağımız Certification Authority bulunmalıdır. Elbette bunu söylerken sıradan bir servis’in gelişigüzel yüklenip start edilmesinden bahsedemeyiz. Certification Authority, planlama yapılması gereken ve şirketin gelecekte ihtiyaç duyacağı tüm security uygulamalarına evsahipliği yapacağından dolayı iyi bir şekilde projelendirilmesi ve hizmete sunulması gereken bir servistir. Diğer ihtiyacımız ise elbette bir Smartcard security kit olacaktır. Bu yazı dizisini hazırlarken kullandığımız smartcard ise Gemplus’ın Gempctwin ürünüdür.

Şekil 2: Yeni nesil Usb arayüze sahip Cell-storage Smart Card ve Okuyucusu

Aşağıda kurulum tüm basamakları ile ele alınmaya çalışılmıştır, fakat sertifika yoluyla smartcard authentication yapabilmemiz için gereken hazır sertifikalar yerine kendi oluşturacağımız ve nitelikleri farklı olan sertifikalar da kullanılabilir, konunun çok uzun ve detaylı olmasından dolayı burada değinme imkanımız bulunmamaktadır. Yine diğer bir husus olarak, Certification Authority’nin kurulumunu makalemizde Enterprise Root olarak ele almış bulunmaktayız, fakat gerçek hayatta kullandığımız CA yapısının dizaynında çok ince ayarlar kullanmamız gerekecektir.(ör: Offline-root/policy CA/Issuing CA yöntemiyle)

Certification Authority’nin domain’imizde kurulması ile ilk başlangıcı yapıyoruz. CA’dan önce Internet Information Service’in yüklenmiş ve start edilmiş olduğuna emin olmalıyız. Çünkü sertifika dağıtımlarını Online yapabileceğimiz gibi web üzerinden de yapabilmek için bu gerekli.

Şekil 3:

CA’nın hangi tipte kurulacağını belirlememiz gerekiyor, yukarda bahsettiğimiz gibi bu örnek uygulamada Enterprise ROOT CA yapısını kullandık. Fakat sistemimizdeki güvenlik topolojisine göre diğer tipleri de kullanabiliriz.

Şekil 4:

Certificate Authority’mizin Active Directory yapısında yayınlanacağı ismi girmemiz gerekiyor, ardından CA sertifikasının geçerlilik süresini belirteceğiz. Bu süre default olarak 5 yıldır.

Şekil 5:

CA’nın kullanacağı veritabanının ve log dosyasının lokasyonu. İstersek farklı bir bölgeye de taşıyabiliriz. Burada şayet sunucumuzda array yapısı kullanıyorsak güvenli olan RAID arraylarine bu dizinleri yol olarak gösterebiliriz.

Şekil 6:

CA’nın tamamlanması için bizden IIS’in stop edilmesini sormaktadır, şayet yukarıda belirttiğimiz gibi IISin kurulumunu unuttuysak ve Domain’imizde CA’in kurulumu bu noktaya kadar geldiyse, artık daha sonradan IIS’i kurmamız halinde bile gerekli sanal dizinler oluşturulamayacaktır. ve elbette web desteğimiz de bulunmayacaktır.

Fakat manuel olarak vereceğimiz bir komut sayesinde unuttuğumuz IIS kurulumundan sonra sanal dizinleri yeniden getirebilmemiz mümkümdür.

Şekil 7:

Şekil 8’de IISin olmadığı bir sunucuya CA yapısını kurup, daha sonradan da IIS’i kurduktan sonraki Default Web site’ın durumunu görüyoruz. İçinde gerekli sanal dizinlerin olmadığını görürüz.

Bu noktada command console’da certutil –vroot komutunu kullanıp bu dizinlerin yaratılmasını sağlarız. Elbette normal şartlarda IIS hazır olan bir Server’a kurulan CA , bize hata vermeden IIS’i de konfigüre edecektir.

Şekil 8:

Şekil 9’da ise ilgili komutumuzu çalıştırdıktan sonra IIS’deki default web Site’ın durumunu görüyoruz. Olması gereken sanal dizinler yerini almıştır.

Şekil 9:

Şimdiki sırada ise , CA manager’ı çalıştırarak SmartCard uygulaması için gereken iki sertifikanın yayınlanması var. Bu sertifikalar ;

Smartcard Logon (veya Smartcard User)
Enrollment Agent

sertifikalarıdır.

Smartcard logon sertifikası ile kullanıcılarımıza vereceğimiz smartcard’ların içine public ve private key’leri (key pair) yükleyeceğiz ve bununla birlikte public key certificate’leri içerisinde barındıracaktır. Bu sertifikayı smartcard’ları hazırlayacağımız ve smartcard okuyucusunun bağlı bulunduğu Pc’ye almamız gerekecek.

Enrollment Agent sertifikası da smartcard’ları hazırlayacağımız PC’de bulunacak ve kullanıcıların smartcard’larına onlar adına yetkili bir kişi gibi davranıp CA’den sertifikalarını alıp kartlara yükleyecek kişinin sertifikası olacaktır.

Yukarıda anlatılan bu iki durum da aşağıdaki basamaklarda adım adım uygulanmaktadır.

Şekil 10’da CA manager’dan Certificate Templateleri seçtiğimizde sağdaki panelde yayınlanmakta olan sertifikaları görüyoruz ve default olarak yukarıda bahsedilen iki sertifika da bulunmamaktadır, biz bunları ISSUE ederek yayınlamış olacağız ve smartcard’ları hazırlayacak olan PC’ye bu sertifikaları yükleyeceğiz.

“New Certificate Template to Issue “ seçeneği ile sertifikamızı publish ediyoruz.

Şekil 10:

Enrollment Agent sertifikasını seçerek publish ediyoruz.

Şekil 11:

Yine “New Certificate Template to Issue “ seçeneği ile Smartcard logon sertifikasını seçerek publish ediyoruz. Burada smartcard user sertifikasını da kullanabiliriz, aralarındaki fark ise , smartcard user sertifikasında ilave olarak Secure mail gönderirken kullanılabilecek uygulama da mevcuttur.

Şekil 12:

Her iki sertifika da şu anda publish edilmiş durumda listede yerini almış bulunmaktadır.

Şekil 13:

Gerekli CA yapısının kurulumu ve sertifikaların yayınlanması tamamlandı. Şu andan itibaren Smartcard’ları hazırlayacak olan workstation’ın üzerindeki konfigürasyona değineceğiz.

Örneğimizde kullandığımız Gemplus Smartcard’ın driver’ını yükleyerek sisteme tanıtıyoruz.

Şekil 14:

Hemen ardından bu karta ait library dosyalarını yüklememiz gerekiyor. Burada belirtmek istediğim birşey var, piyasalarda smartcard okuyucuları nereden bulacağız sorusuna tek cevabı Gemplus vermektedir. Bir ekran kartı veya bir monitör gibi çeşitlilik arz eden bir çevre birimi olmaktan öte, dünyanın en büyük smartcard üreticisi Gemplus’ı kullanmak burada ciddi ve kurumsal uygulamalarda bizim başımızı ağrıtmayacaktır. (http://www.gemplus.com/) Türkiye pazarında bulunan diğer tek ürün ise Omnikey’in smart card ve okuyucusudur.

Şekil 15:

Library dosyaları kurulup restart ettikten sonra smartcard okuyucumuz kullanıma hazır hale gelmiştir. Gemplus’ın kendi sertifika yönetimi ve diagnose işlemleri için kullanımımıza sunduğu iki uygulama var, smartdiag ve Gemsafe Toolbox .

Smartdiag ile kart okuyucumuzu ve üzerine taktığımız smart card’ı kontrol ederek çalışır durumda olduğu bilgisini vermektedir.

Şekil 16:

Gemsafe toolbox ise kart üzerinde yüklü sertifikalar, kart özellikleri vb. enformatik bilgileri sunar ve aynı zamanda kart üzerindeki tüm administrative fonksiyonları yönetmemize olanak tanır.

Şekil 17:

Şekil 18’de microsoft CA ile yüklemiş olduğumuz user sertifikasının ardından Gemsafe Toolbox ile kartımızın durumunu inceleyebiliyoruz.

Şekil 18:

Donanımsal ayarlamalardan sonra, sıra geldi enrollment Station’a gerekli sertifikaları çekmeye.. burada iki yöntem kullanılabilir, online olarak Request yöntemi veya web üzerinden CA sunucumuza bağlanıp oradan isteğimizi gerçekleştirebiliriz. Bu uygulamada ilk yöntemi kullanacağız.

MMC’yi açarak ekleyeceğimiz snap-in (certificates) ile , veya komut satırında certmgr.msc komutuyla ilgili sertifika konsolunu açıyoruz,

Şekil 19:

Yeni bir sertifika talebinde bulunmak icin “Request new certificate” komutunu kullanıyoruz.

Şekil 20:

Yeni sertifika sihirbazı ile ilk olarak Enrollment Agent sertifikasını alacağız.

Şekil 21:

Burada görünen iki sertifika da (enrollment agent ve smartcard logon) CA’dan publish ettiğimiz için ilave edilen sertifikalardır.

Şekil 22:

Enrollment Agent sertifikasını seçerek devam ediyoruz. “Friendly name” sordugunda hatırlatıcı bir isim verebiliriz.

Şekil 23:

Başarılı bir şekilde yüklediğimiz ilk sertifikanın ardından sırada smartcard logon sertifikasının talebi var.

Şekil 24:

Yine aynı şekilde Smartcard Logon sertifikasını seçerek devam ediyoruz

Şekil 25:

Bu noktada şayet smartcard okuyucumuza kartımızı taktıysak bizden pin numarasını soracaktır. Belirtmek gerekir ki, smartcard’lar çift güvenlik seviyesi maksadıyla her türlü işlemde bize PIN numarası sormaktadır.

Şekil 26:

Evet, şu anda iki sertifikamız da hazır bulunmaktadır. Geriye kalan tek işlem ise , kullanıcılarımızın username’leri adına sertifikaları CA’dan almak ve smartcard’lara yüklemek olacaktır.

Şekil 27:

Burada baştan belirtmek gerekir ki , CA’a web üzerinden bağlanıldığında çalıştırılacak olan ActiveX scriplerine izin vermek ve aynı zamanda sorun çıkarmadan çalışmalarını sağlamak adına aşağıdaki işlemi yapmamız gerekiyor.

CA sunucumuzun host ettiği web erişim sayfasını ( http://sunucuadi/certsrv ) “Trusted sites” ‘a ekleyerek.

Enrollment Station’da şimdiki uygulanacak adım ise; http://sunucuadi/certsrv yazıp sertifika sunucumuza bağlanmak olacaktır. “ Request a Certificate “ seçerek devam ediyoruz ;

Şekil 28:

Burada “advanced certificate request” seçerek diğer kullanıcılarımız adına smartcard sertifikalarını almak üzere devam ediyoruz ;

Şekil 29:

En alttaki seçenek olan “ request a certificate for a smart card on behalf of....” diyerek devam ediyoruz. Bunun için ihtiyaç duyulan Enrollment Agent sertifikamız halihazırda makinada bulunduğundan dolayı herhangi bir sorun yaşamayacağız.

Şekil 30:

Şu anda ise gerekli enrollment bilgilerinin doğru bir şekilde görüntülenmesinden sonra, hangi kullanıcıya smart card sertifikası yükleyeceğimizi belirtip son aşamayı da tamamlamış olacağız. Doğru bir şekilde görüntülenmesi diyerek şunu kast etmekteyiz ki, ActiveX’in yüklenip çalıştırılması için gerekli yetkiyi vermediysek yahut smartcard logon veya enrollment agent sertifikalarından birisinin düzgün bir şekilde issue edilmediği durumlarda , enrollment bilgilerimiz görüntülenemeyecek ve devam etmemiz olanaksız hale gelecektir. Böyle bir sorun yaşayacak olursak, yukarda bahsedilen noktalara yeniden bir gözatmamız gerekecektir.

Şekil 31’de karşımıza çıkan ActiveX download’ına izin vererek install ediyoruz.

Şekil 31:

Şimdiki aşamada ise User to Enroll bölümünden “select user” ile devam ediyoruz. Bu arada kontrol edeceğimiz bir nokta , “certificate template” bölümünde hangi sertifikayı seçeceğimizi belirtiyor, biz burayı olduğu gibi bıraktık çünkü yükleyeceğimiz tek sertifika smartcard logon sertifikasıdır. Şayet farklı bir amaç için farklı bir sertifika var ise (ör smartcard user veya kendi dizayn ettiğimiz başka amaçlarla yaratılmış olan bir sertifika) işte bu durumda gerekli seçimi yapmamız gerekecektir.

Şekil 32:

Sertifikayı yükleyeceğimiz kullanıcıyı seçiyoruz ve kart okuyucumuza kullanıcımız için tahsis ettiğimiz kartı yerleştiriyoruz, geriye kalan tek aşama olarak “Enroll” komutu ile sertifikayı yazmak kalıyor.

Şekil 33:

Kullanacağımız smart card okuyucu cihaz sisteme doğru bir şekilde tanıtılmadıysa, “Enroll” aşamasında hata verecektir. Çünkü bu noktada smartcard okuyucu ile direkt iletişime geçilmektedir.

Şekil 34:

Daha önceden yapılan bir başka uygulamada kart üzerinde başka bir sertifika yüklü olduğundan dolayı bize mevcut olanı silip silmeyeceğimizi sormaktadır. Kartı temizleyerek sadece bu sertifikanın yüklü olmasını istiyorsak burada gerekli onayı veriyoruz.

Şekil 35:

Her zaman olduğu gibi şimdi de PIN kodunu teyid etmemiz gerekiyor ;

Şekil 36:

Başarılı bir enrollment sonucu aşağıdaki mesajı alıyoruz ,

Şekil 37:

ve istersek yüklediğimiz sertifikayı Smartcard’ımızdan okutarak görüntüleyebiliyoruz. Bu noktada , birden çok kullanıcıya smart card dağıtma durumuda “New user” ‘ı seçerek başka kullanıcılar için de aynı işlemi tekrarlıyoruz.

Şekil 38:

Test etmek amacıyla sisteme oturum açtığımızda , Multifactor Authentication sayesinde karşımıza çıkan Interactive logon ekranında CTRL+ALT+DEL yaptığımızda smart card’ımızın PIN konudu sorarak onaylamamızın ardından sisteme direk oturum açılıyor. Herhangi bir username/password girişi yerine kartımızdaki sertifikamız bizi sisteme dahil ediyor.

Şekil 39:

Şekil 40:

Şayet active Directory yapımızda tüm kullanıcılarımıza “mutlaka smart card ile oturum aç” ilkesini uygulamak istiyorsak domain Security Policy’den ;

Interactive Logon : Require Smartcard

kuralını aktif hale getiriyoruz. Ve bununla birlikte kullanıcılarımızın oturumlarını Lock etmek istediklerinde CTRL+ALT+DEL yerine smartcard’larını okuyucudan çıkartarak yanlarına alıp oturumlarını kilitlemek istediklerinde de ;

Interactive logon : SmartCard removal Behavior

kuralını aktif hale getirip ilgili seçimi yapıyoruz. Hatta group policy ile terminal server kullanıcılarının smartcard ile oturumlara katılıp bu kullanımı sağlamaları için gerekli policyler de mevcut.

Şekil 41:

Devam eden makalelerde ise Smartcard ile email uygulaması ve Radius bulunan bir ortamda VPN sunucuya PPTP-EAP ile Sertifikalı bağlanmanın Smart Card kullanarak nasıl yapıldığına ilişkin çalışmamız olacaktır.

Kaynak:

GemPlus

2823 Microsoft Official Curriculum

Secure E-Mail ( Dijital Imza )

2008-04-28T13:22:50Z

Dijital İmza Nedir?

Bugün yazılı dökümanlarda kullandığınız imzalar gibi, e-mail veya elektronik datanın yazarının/diğer imzalayıcılarının tanımlanması için dijital platformda kullanılan imzalardır. Dijital imzalar, Dijital Sertifikalar kullanılarak yaratılır ve onaylanır. Bugün, hukuk kurumları dijital imzaların yazılı olanlar gibi yasal bağlayıcı ve uluslararası kabul edilir olması için hukuki altyapıyı hazırlamaktadır. Bilgiyi imzalamak ve güvenli bir işlem gerçekleştirmek için kendi özel Dijital Sertifikanıza ihtiyacınız vardır.

Dijital imzalar aşağıda belirtilen önemli fonksiyonları sağlarlar:

- Tanılama

- Gizlilik & data bütünlüğü

- İnkar-edememe

5070 Sayili Elektronik İmza Kanunu madde 4’e göre Güvenli elektronik imza;

- Münhasıran imza sahibine bağlı olan,

- Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan,

- Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan,

- İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan,

dijital bir anahtardır.

23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazetede yayınlanan ilgili mevzuatı aşağıdaki linkten takip edebilirsiniz:

http://www.dijital-imza.com/mevzuat/kanun.htm

Makalenin bu kısmında dijital bir anahtarı kullanarak karşı taraf için kimliğimizi ispatlamayı, ve aynı anahtarı kullanarak maillerimizi encryptleyerek göndermeyi göreceğiz.

Öncelikle bu anahtarı verecek, herkes tarafından güvenilir sertifika dağıtan CA (Certification Authority) 'lere ihtiyaç duyulur. Ticari olarak bu işi yapan firmalardan kullanım amacına uygun sertifikalar ücret karşılığı alınabilir. Lokal kullanım için Windows 2000/2003 sunucu ailesi işletim sistemleri CA servisi sağlayabilir. Yalnız lokal CA kullanmanız durumunda sertifkanızın güvenilirliği sadece lokaliniz için geçerli olacaktır. Bu sebep ile Web sitelerinin SSL sertifikaları, mail için kullanılan Secure Email sertifikaları Ticari CA (Commercial CA)'lerden alınmalıdır. Bu makaledeki uygulamada bir mail hesabı için sertifika talep edeceğiz. Sertifika alabileceğiniz CA sitelerine örnek olarak http://www.globalsign.com/ veya http://www.thawte.com/ web adresleri verilebilir.

Şekil 1: Global Sign Anasayfa

Şekil 2: Thawte Anasayfa

Global Sign web adresini kullanarak devam edeceğiz. Sol üst linkte Certificates – Client Certificates bölümünden talep sayfasına girerek; aşamaları talip edeceğiz.

Şekil 3: Kişisel Sertifikamızı talep ediyoruz

Karşımıza çıkan ekranda istekte bulunulan sertifika için prosedür gereği hangi aşamalardan geçileceği belirtiliyor.

Step1: İşletim sistemimizin globalsign’a güvenip güvenmediğinin kontrolü yapılır;

Step2: Sertifikayı kullanmak istediğimiz mail hesabını yazılır;

Step3: Yazdığımız mail hesabına gelen mail’i kontrol edip, linke tıklanır;

Step4: Aşama 2 de yazdığımız password girilir;

Step5: Kişisel bilgilerimiz girilir;

Step6: Anlaşmayı kabul ederiz;

Step7: Mailimize gelen son link ile, yükleme yapacağımız yere yönlendiriliriz;

Step8: Sertifikayı install ederiz.

Tüm aşamalar sonunda bizim için hazırlanan sertifikayı sistemimize yükleyebiliriz.

Şekil 4: Son aşama; Kişisel Sertifikamızı yüklüyoruz

Install edilmiş sertifikayı görmek ve herkes tarafından güvenilir sertifika dağıtan CA (Certification Authority) ler arasında bizim tercih ettiğimiz CA (Certification Authority), yer alıyor mu kontrol edelim;

Şekil 5: Sertifikalar

Şekil 6: Güvenilen CA (Certification Authority) listesi

Şekil 7: Talep edilen sertifikamız

Bu sertifikayı başka makinada kullanmak ya da yedeklemek isterseniz, export edebiliriz. Bilindiği üzere Dijital sertifika iki anahtardan oluşuyor; Public Key ve Private Key'dir. Veriyi encrypt hale dönüştüren public key, encrypt edilmiş veriyi açan public key dir. Uygulamamıza Private Key’ i de export ederek yedekleme işlemini başlatıyoruz.

Şekil 8: Private Key’i de içeren setifikanın yedeğini alma

Eğer birileri size özel bu private key'i ele geçirirse, encrypt hale dönüştürülmüş verileri açma olasılığını engellemek amacıyla bu sertifikayı kendine yükleyememesi için password verilmesi ve kimseye söylenmemesi gerekir.

Şekil 9: Güvenlik amacıyla sertifikayı ele geçirebilecek kişler için parola zorunluluğu

Şekil 10: Sertifkayı yedeklemede son aşama

Yedekleme işlemini de böylece tamamlamış oluyoruz. Zaten yüklü olan sertifikamızı Microsoft Outlook programında nasıl kullanacağımıza bakalım..

Şekil 11: İstemci programda sertifikayı görmek

Tools – Options açılan pencerede Security sekmesine gelirsek yüklü olan sertifikayı outlook programımızın zaten kullanmaya hazır olduğunu, ya da import edebileceğimiz yeri görebiliyoruz. Karşı tarafa attığımız maillerde dijital kimliğimizi de göndermek istiyorsak “Add digital signature to outgoing messages” kutucuğunu işaretleyebiliriz

Şekil 12: Dijital imzayı kullanıyoruz

Gönderdiğiniz maillerde kırmızı kurdele eklentimiz geliyor ve karşı tarafta kendi kimliğimiz ispatlanmış oluyor

Şekil 13: Dijital imzalı gelen mail:1

Maili alan kişi, sertifikalı mail atan kişinin sertifikayı aldığı siteye güveniyorsa, o an için iletişim kurabiliyorsa ve kişinin bilgileri doğrulanıyorsa kurdele kırmızı olacaktır; herhangi bir mgereklilik eksikse kurdelemiz renksiz olacaktır.

Şekil 14: Dijital imzalı gelen mail:2

Maili okumadan önce kurdeleye tıklayarak, kullanıcının, sertifika dağıtan server ın ve sertifikanın bilgilerini görebiliriz.

Şekil 15: Dijital imzalı gelen mail:3

Encryptli mailleşme olabilmesi için öncelikli olarak tarafların birbirlerine public keylerini göndermeleri gerekmektedir. Public Key ler dijital imzalarımızla karşı tarafa ulaşıyor, Uygulamamızda Türker’ den Volkan’ a ve Volkan’dan da Türker’e karşılıklı olarak mailleşme olduğundan ve public key ler paylaşıldığından (Volkan’ın public key i Türker’ de; Türker’in public key i de Volkan da) olduğu için artık encryptli mailleşebiliriz. Sonuç olarak İlgili programımızın security sekmesinde “Encrypt contents and attachments for outgoing messages” kutucuğunu doldurarak tüm içerik ve eklerin encyrptlenmesini sağlayabiliriz.

Şekil 16: Mailleri şifrelediğimiz yer

Maili alan kişi artık kırmızı kurdelenin yanında asma kilit işaretini de görmektedir. Kırmızı kurdelede söylediklerimize ek olarak bu maili açabilmemiz için private key imizi hiç bir zaman kaybetmemiz gerekiyor. Diğer bilgiler için ilgili simgelere tıklamamız gerekiyor

Şekil 17: Şifreli gelen mail:1

Şekil 18: Şifreli gelen mail:2

Hem yasanın gerekliliklerini yerine getirmiş, kimliğimizi ispatlamış tüm bunlara ek olarak maillerimizi mail sahibinden başka hiçkimsenin okuyamaz hale getirdik.

Forefront Securty for Exchange ile İstenmeyen Mail Eklentilerinin Engellenmesi ( Using File Filtering To Block Attachments )

2008-04-19T18:50:47Z

Forefront Securty for Exchange Server yazılımı mail serverimiz üzerinden geçen bütün mesajları, belirlemiş olduğumuz dosya uzantısına göre, dosya tipine göre ve dosya ismine göre belirlemiş olduğumuz kısıtlamaları gerçekleştirerek mail sunucumuzun gerek performansını gerekse güvenliğini sağlamaktadır.

Bu ve benzeri kısıtlamaları yapmazsak eğer mail sunucumuzda yaşayacak olduğumuz sıkıntılar, organizasyonumuz için gerekli olmayacak uzantılara sahip dosyaların exchange serverimiz vasıtasıyla iletişimi gerçekleştirerek exchange serverimizin performansının etkilenecek olmasıdır. Diğer bir dezavantajı ise ilgili uzantıya sahip mailler exchange serverimiz üzerinde barınacağı için database boyutumuzdan kullanacak oluyor olması ve ileride disk alanımızın belki yetersiz kalmasına sebeb olacaktır. Hiç bir felaket senaryosu oluşmayacak olsa dahi bizlere getirecek olduğu iş yükü backuplama zamanlarında işlemlerin uzamasına sebep olmasıdır.

Bu uzantılar bazen zararsız olabileceği gibi, mailimizin içinde barınan viruslu bir yurutulebilir (executuable) virus dosyası olabilir ve dosyamızı açmamız ile gerek client bilgisayarımıza zarar vermesini gerekse exchange serverimizin zarar görmesi içten bile değildir.

Forefront for Exchange Server yazılımız üzerinde herhangi bir kısıtlama uygulanmadığı zaman organizasyonm içinde ve organizasyon içinden dışarıya – dışarıdan içeriye bütün maillerin herhangi bir kısıtlamaya mağruz kalmadan iletişimde bulunabilmektedir.

Forefront for Securty Administrator konsolumuzu açarak Filtering sekmesi altında File \ Transport SCAN Job \ Add \ diyerek engellemek istediğimiz dosya uzantısını yazıyoruz.

File Filter bölümünden enable bölümünü seçip, action bölümünden ise Delete : remove contens’ i seçip save butonu ile kuralımızı kaydediyoruz.

Kuralımızın aktif olmasından sonra tekrardan bir mp3 dosyası gönderiyoruz.

Fakat bu sefer mail alıcısına mp3 dosyamız yerine mail eklentisi bölümünde bir txt dosyası yer almakta olup, dosyanın engellendiğini görebilmekteyiz.

Forefront for Securty Administrator konsolumuzu açarak Filtering sekmesi altında File \ Transport \File Types Bölümü içinde bulunan Deletion Text bölümünü tıklarsak eğer ilgili bilginin kullanıcılarımız tarafından anlayabileceği türden değiştirebiliriz.

Forefront for Securty Administrator konsolumuzu açtığımızda Filtering sekmesi altında File \ File Types bölümü altında zararlı ve/veya organizasyonumuz için gerekli olmayacak bir çok uzantıyı görebilir ve ihtiyacımıza göre ilgili dosya türlerini tek tek seçip, filter bölümünden enable konumuna getirebilir ve action bölümünden uzantıya göre eylem belirleyebiliriz.

Default olarak bu bölüm All Types seçili olup, eylem silmek üzere yapılandırılmıştır.

Forefront for Securty Administrator konsolumuzu açtığımızda Filtering sekmesi altında File \ File Names bölümü altın da farklı türden dosya/ dosya uzantıları ve kuralları oluşturabiliriz.

Bu bölüm için de girebileceğimiz kurallar ;

*.bmp>3MB : 3 mb üzerinde ki bmp dosyaları için actions bölümünden seçmiş olduğumuz eylem uygulanacaktır.
· <in>*.mp3 : Organizasyon içinde gerçekleşen *.mp3 uzantısına sahip dosyalar için actions bölümünden seçmiş olduğumuz eylem uygulanacaktır.
· <out>*.mp3 : Organizasyon dışından gelen ve/veya organizasyon dışına giden *.mp3 uzantısına sahip dosyalar için actions bölümünden seçmiş olduğumuz eylem uygulanacaktır.
· Dosya ısmı.uzantısı : Sadece belirli dosya için actions bölümünden seçmiş olduğumuz eylem uygulanacaktır.

Fatih KARAALİOĞLU

Technorati Etiketleri: Forefront Securty for Exchange Server File Filtering Exchange 2007 Mail eklentisi engelleme