[Gelistirici] Ahenk 2.0 Planları

Emre Erenoglu erenoglu at gmail.com
17 Nis 2009 Cum 12:01:14 EEST 

2009/4/15 Gürer Özen <gurer at pardus.org.tr>

> Kerberos'un amacı ise farklı bir problemi çözmek: single sign-on. Bunun
> dışında daha fazla güvenlik sağladığı gibi bir şey yok. [0] adresindeki
> drawback'lere bakarsan da Kerberos'un kendi güvenliğini sağlamanın hiç de
> basit bir problem olmadığını göreceksin.
>
> [0] http://en.wikipedia.org/wiki/Kerberos_(protocol)<http://en.wikipedia.org/wiki/Kerberos_%28protocol%29>
>

Merhaba, elciye zeval olmaz, kullanici listesinden buraya yonlendirilmesi
istenmis. Kerberos konusu ile ilgili:

---------- Forwarded message ----------
From: Burak Arslan <burak.arslan at arskom.com.tr>
Date: 2009/4/17
Subject: Re: [Pardus-kullanicilari] [Gelistirici] Ahenk 2.0 Planları
To: pardus-kullanicilari at pardus.org.tr


not: bu maili yetkisi olan arkadaslar gelistirici forumuna da iletirse
cok sevinirim.

===================

selamlar,

puppet konusunda:
policyleri ldap'ta tutmak, cok kisir bir deklaratif dil kullanmak demek.
(sadece key=value diyebiliyorusunuz, bence kotu fikir.) puppet policy
belirlerken (cfengine'in emperatif dilinin aksine) tam tesekkullu, ama
yine deklaratif bir dil kullandigi icin  puppet dilinde policy ureten
bir gui yazip istemci yonetimini puppet vasitasiyla yapmak daha kisa
zamanda daha guclu bir urun ortaya cikmasina yardimci olacaktir. (gui
ile policyleri uretin, gerisini puppet yapsin) boylece hem gui isteyen
insan hem de script yazmak isteyen insani mutlu edebiliriz.

authentication konusunda:
tls tuneli icinden pam_ldap ile ldap sunucusuna simple bind ile
authentication yapiyorsunuz. bu en guvensiz ikinci authentication
yontemi. (en guvensizi tls/ssl kullanmadan ayni isi yapmak)

neden derseniz ;)

biliyorsunuz tls/ssl altyapisi beraberinde yonetilmesi gereken bir PKI
ile geliyor. yani bir root sertifika yaratiliyor, ve bu sertifikanin
imzaladigi sertifikalar sunucu ve istemcilere dagitiliyor.

bu dagitim isi guvenilir(?) it personeli tarafindan elle yapilacaksa
sorun yok. ama pratikte bu islem otomatik yapilacaktir. sertifika
iletimi sirasinda bir aktif mitm saldirisi yapilarak bu sertifikalar
yolda yakalanarak degistirebilir. boylece mitm kardes istemci ve
sunucuya kendi urettigi sertifikalari gondererek baglantiyi istedigi
gibi izleyebilir / degistirebilir / kaydedebilir. boylece de istemcilere
istedigini kurabilir vs. rezalet yani :)

internette alisveris vs yaparken kullandigimiz ssl/tls in de kocaman bir
kandirmaca olmasi iste bu sebeptendir. (browser'in icinden cikan kok
sertifikalarin bize gelirken yolda degistirilmedigini kimse garanti
edemiyor. paketin yaninda gordugunuz paket digestinin de yolda
degistirilmedigini kimse garanti edemiyor.)

zaten kerberosu yaratan ekip de bu sorunlari inkar edemedikleri /
cozemedikleri icin bu ise girismislerdir. (gerci o zaman ssl var miydi
bilemiyorum)

peki kerberos bunlari nasil cozer ? cok basitlestirilmis bir sekilde:
istemci, kerberos sunucusuna (AS) kullanici adini cleartext olarak
gonderir. kerberos sunucusu encrypted bir mesaj gonderir. mesajin
sifresi kullanicinin sifresidir. istemci kullanicinin girdigi sifre ile
gelen mesaji decrypt eder ve ortaya cikan yeni mesaji TGS'ye gonderir.
eger TGS gelen mesajdan birsey anlayabilmisse (== sifre dogruysa)
istemciye bir ticket gonderir. vesaire.

gordugunuz gibi sifre kesinlikle ortalikta dolasmiyor, aktif mitm'in
yapabilecegi tek sey replay saldirisi. bunun da onune senkronize
saatlerle geciliyor. network time protocol denen bir nimet de gunumuzde
rahatca kullanilabildigi icin bu pratik bir sorun degil.

ayrica wikipedia'da belirtilen kerberos'un eksikleri ya dupeduz yalan ya
da diger sistemlerde de ayni eksikler mevcut. alternatif olarak konunun
uzmanlarindan albert levi'nin ders notlarina
http://people.sabanciuniv.edu/levi/cs432_532/ adresinden erisebilirsiniz.

son olarak belirtmek istedigim bir nokta var ki o da su: kriptografi ile
hobi olarak ugrasan birisi olarak(asil isim istatistiksel dogal dil
isleme), kriptografide turkiyenin et yetkin kurumu olarak bildigimiz bir
kurumun calisanlarina kriptografi anlatirken ellerim terlemiyor degil.
ben sadece bilebildigimce konuya yorum getirmeye calistim. bir yanlisim
olmussa duzeltmeniz benim de bilgimin artmasina sebep olacaktir.

simdiden tesekkur ediyorum.

iyi calismalar
burak

---------- End of Forwarded message ----------

Bence de kripto tarafinda calisan is arkadaslariniza sormakta fayda
olabilir.

-- 
Emre
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20090417/f9f178f7/attachment-0002.htm>

Gelistirici mesaj listesiyle ilgili daha fazla bilgi