[Gelistirici] [Pardus-kullanicilari] Ahenk 2.0 Planları

19 Nis 2009 Paz 18:14:35 EEST

2009/4/19 Burak Arslan <burak.arslan at arskom.com.tr>

> selim ok wrote:
> >
> > Sonucta geldigimiz noktaya bakinca bunun sertifika dagitimindan farki
> > kalmiyor Gürer'in dedigi gibi.
> kaliyor; aciklayayim.
>
> guvensiz aglar uzerinden guvenli iletisimin temel prensibi: guven yoktan
> var edilemez, bir guven turu bir baskasina cevrilir. (albert levi'nin
> sozudur)
>
> kerberos ile, kerberos destekleyen bir terminal uzerinden bir kdc'ye
> auth olabilmek icin once o terminal icin bir private key olusturulmasi
> gerekiyor. bu private key'in guvenli bir sekilde kdc'den terminale
> tasinmasi isi, su sekilde yapiliyor: terminal ben seninle konusabilmek
> istiyorum diyor, kdc de "ok al bu senin sifren ama bu sifreyi domain
> admin sifresiyle acman lazim, o zaman login olabilirsin" diyor. o sirada
> o terminali domain'e katmaya calisan domain yoneticisi admin sifresini
> giriyor ve sunucu private key'ini ogrenmis oluyor.
>
> terminal ele gecirildiginde ele gecen sifre aslinda bu sifredir. bunun
> ele gecmesi kullanici sifrelerini bir tehlikeye sokmamaktadir, sadece o
> terminalden hangi kullanicinin login olmaya calistigini ogrenebilir
> saldirgan. ticket cache'deki ticket'i kullanarak yapilacak bir
> saldirinin ise ticket'in gecerlilik suresi (sanirim max. 5 veya 10
> dakika) icerisinde yapilmasi gereklidir.
>

Okudugum kitapta (ne sanstir ki konu burada konusulurken ben de is yerinde
bu konuyla ilgileniyordum :) ) biraz daha farkli anlatiyor sanki bu key
tasima olayini. Hadi orayi tam bilemiyorum ama en azindan bir kisimda söyle
diyor:

*...the compromise of a service's key allows an attacker to masquerade as
any authorized principal when communicating to that service, and also allows
an attacker to read any conversation between clients and the compromised
service. *[Kerberos - The Definitive Guide / Jason Garman]

Buradan benim anladigim servis anahtari elegecirilirse, kullanicilar
kandirilabilir, sanki gercekten o servisle konusuyormus gibi gösterilebilir
ve kullanicinin o servise gönderebilecegi tüm veriler ele gecirilebilir.
Yani sadece kim giris yapmak istemis bilgisinden daha fazlasi.

> (ayrica parantez icinde belirtmek isterim ki, saldirgan oraya kadar
> girebilmisse rootkit de kurar, keylogger da kurar, o terminalden
> yurutulen butun trafigi ele gecirir zaten, kerberos'la tls'le niye
> ugrassin)
>

Bu söylediklerinize katiliyorum tabii.

>
> ssl'in sertifika dagitim protokolunde ise boyle bir guven donusumu yok.
> gelen sertifikanin fingerprint'ini manuel olarak kontrol etmek
> gerekiyor, bunu da kimseye yaptiramazsiniz. eger ciddi bir kimlik
> dogrulama protokolu olarak ssl/tls tercih edilecekse, bu ozelligin
> (sertifika dogrulama) protokole eklenmesi lazim. ya da dedigim gibi
> sertifikalarin terminallere guvenilir bir sekilde onceden kurulmasi, ve
> daha sonradan bu sertifikalarin cesitli sebeplerle (askere giden it
> personeli yerine gelen eleman, "bunun sifresi neydi merve'cigim" diyen
> personel kankasi, priviledge escalation, vesair vesair)
> degistirilmediginden emin olunmasi lazim.
>
> bu da yetmiyormus gibi, ssl/tls sisteminde private key ele gectigi an, o
> andan sonraki (eger iletisimi kaydediyorsa onceki de olabilir, emin
> degilim) butun konusmalar saldirganin eline geciyor. kerberosta boyle
> bir risk yok. kerberosta PKI yonetimi diye birsey de yok zaten, hersey
> otomatik oluyor.
>
> hatta ve hatta, dunyada kurulmus tum ahenk benzeri sistemler (active
> directory dahil) kerberos kullanmakta, ustelik bu sistemler biraz
> entegrasyon cabasiyla birbiriyle konusabilmektedir. (inanmazsiniz ama
> microsoft bile kerberos protokolune cok bir degisiklik yapamamistir.)
> kisaca kerberos kullanilmasi ahenk'in it sektorunde daha kolay kabul
> edilmesini de saglayacaktir.
>
> kisaca, hem yonetimi daha kolay oldugu icin, hem de guvenli oldugu icin,
> hem de sektorde kabul edilmis de facto bir standart oldugu icin kerberos
> tercih edilmelidir. eger anlattigim kripto algoritmalarinda bir
> yanlislik yoksa (ki, tekrar ediyorum, bu mumkundur) benim gorusum budur.
>

Acikcasi benim görüs bildirmeye yetecek karsilastirmali bilgi birikimim yok,
ama Kerberos genis capta kullanilan bir altyapi, bir alternatif olarak
düsünülebilir gibi.

>
> saygilarimla,
> burak
>
>
Not: Burak Bey iletiyi kullanici listesine gönderdigi icin ben cevabimi
iletisini alintilayarak gelistirici ve kullanici listesine gönderiyorum.

Selim

-- 
One more step for freedom: http://www.pardus.org.tr/eng/
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20090419/ed221cd8/attachment-0002.htm>