Her şirketin sahip olduğu bilgi işlem varlıkları bir-birinden farklı ve her şirketin hizmet verdiği sektör ve seçmiş olduğu uygulama ve servis ağı da aynı değildir. Bu farklılıklar, çok farklı bilgi işlem varlıkları ve güvenlik çözümlerinin oluşmasına zemin hazırlamakta ve sektörün de zenginleşmesine neden olmakta.
Bir firma için başarılı ve ihtiyaçları karşılayan güvenlik çözümü, başka bir firmanın taleplerine cevap vermeyebilir. Birinde başarıyla tamamlanan proje diğer firma için hüsranla sonuçlanabilir.
Bilgi işlem varlıklarına ve özellikle güvenlik çözümlerine yatırım yapmadan önce, mevcut bilgi işlem varlıklarını iyi tanımalı ve sahip olduğumuz BT altyapısı için özel çözümler oluşturmalıyız.
Yatırım yapmadan önce mevut BT alt yapısı iyi incelenmeli, şirketin hizmet verdiği sektör iyi analiz edilmeli, kullanılan uygulama, servis ve sunucu özelinde güvenlik çözümleri seçilmelidir.
Parolasız Koruma çözümleri eğitim serimiz de bu gün OTP korumasını konuşuyoruz.
One Time Password (OTP) Koruması Nedir?
OTP, One time Password, sürekli değişen sabit olmayan ek güvenlik koruması. Veri merkezi içinde bulunan sunucu, hizmet ve uygulamalara erişmek için bir dizin hizmeti var ve bu dizin içinde de kullanıcı kimlik bilgileri saklanmakta. Her bir kullanıcının da belirli aralıklarla değişen bir parolası bulunmakta. Bizler bu kullanıcı adı ve parola ile sistemlere erişim sağlamakta ve işlemlerimizi yapmaktayız.
Günümüz güvenlik tehtitleri dikkate alındığı zaman bu geleneksel güvenlik koruması yetersiz kalmakta ve hizmetlerimizi de tehlikeye düşürmekte. Çünkü sahip olunan parola, sabit bir parola daha doğrusu uzun süre değiştirilmeyen bir paroladır. Bir parola, parola yaşam süresi içinde bir çok yerde kayıt altına alınmakta, saklanmakta ve bu da güvenlik riskine neden olmaktadır. Kullanıcımızın parolası ne kadar güçlü olursa olsun parola yaşam süresi içinde güvenlik riski oluşturacaktır.
Şimdi gökhan’ lar bana diyecek password parolası kullanılır mı? P harfi büyük, S harflerinin bir tanesi dolar, bir diğeri noktalı S. Noktalı S, türkçe bir karakter ve yabancı saldırganlar da bu karakteri çözemiyor. Güvenlik seviyemiz biraz daha sıkılaştırılmış durumda. O harfide sıfır ve parola sonunda ek bir rakam daha bulunmakta.
Güvenliği sıkılaştırılmış bir parolaya sahibiz, kırılması zor ve önerilen bir parola. Fakat bu parola sabit bir parola ve parola yaşam döngüsü içinde değişmeyecek.
Kullanıcımız, Parola yaşam döngüsü içinde bir çok platformda bu parolayı kullanacak. Parola yaşam döngüsü de çok kısa bir süre değil. Kimi kuruluş için 30 kimi kuruluş için 45 kimi kuruluş içinse 90 yada 180 güne kadar çıkmakta. Hiç söylemek istemiyorum ama yapmış olduğumuz güvenlik sıkılaştırma çalışmalarında görüyoruz, Password never expire özelliği kullanılmakta ve kurum güvenliği de ciddi tehlikeye düşmekte.
Bu kullanıcıları bu konudan ayrı tutuyorum ve devam ediyorum.
Yani bu kadar gün boyunca kullanıcımız aynı parola ile BT alt yapısı içinde bulunan bütün uygulama ve servislere erişim yapacak. Parolamız çok karmaşık olsa bile çalınma riski her zaman için bulunmakta. Bu tehlikenin önüne geçebilmek için sahip olduğumuz sabit kullanıcı adı ve parolaya ek olarak, değişen sabit olmayan güvenlik çözümlerine ihtiyacımız vardır.
Microsoft Exchange Server özelinde örnek vermeye devam edelim. Microsoft Exchange Server ile kullanıcı aygıtı arasında güvenli bir iletişim var. Güvenlik duvarında izin verildi ve kullanıcı da kullanıcı adı ve parolasını doğrulayarak e-posta sistemine ulaşmakta.
Erişim güvenliği, geleneksel güvenlik duvarı tarafından geleneksel yöntem ile yapılmakta. Burada ki güvenlik duvarı, kullanıcı bilgisayarının zehirlenmesi yada kullanıcının kimlik bilgisinin çalınması durumunda etkisiz kalacaktır.
Exchange serverin, OWA erişimini referans alalım. Exchange Server ‘in dış dünyaya iletişimi sadece 443 portu üzerinden sağlanmakta. Yani, Outlook erişimi, ECP erişimi, Activesync erişimleri 443 portu üzerinden gerçekleşmekte. Dış dünya ile oluşan bütün bağlantı tek bir port üzerinden yapılmakta.
Kullanıcı, herhangi bir tarayıcıdan, OWA erişimi sağladı. Kullanıcı adı ve parola girişini yaptı ve maillerine ulaştı, e-posta gönderdi ve de aldı. Bu erişimi kullanıcı yaptığı sürece bir tehlike yoktur. Yada şöyle düşünelim, kullanıcı bu erişimi bir zombi clinet üzerinden yaptı…
Bu senaryoda kullanıcımız farkında olmadan kullanıcı adı ve parolasını çaldırdı ve geleneksel güvenlik çözümü de bu saldırı karşısında etkisiz kaldı. Çünkü parola ne kadar karmaşık, kırılması zor, tespiti zor olsa bile, sabit yaşam süresi içinde değişmeyen bir paroladır.
Bu güvenlik riski düşünüldüğü zaman OTP çözümleri geliştirildi. OTP koruması bu türden yapılan bir saldırıya karşı ek güvenlik çözümü sunmaktadır.
Ek güvenlik çözümü için OTP çözümünü devreye aldık ve bu OTP çözümü nasıl çalışmakta.
Öncelikle erişim tasarımını değiştirmemiz gerkmekte. Güvenlik duvarı ile exchange sistemi arasına yerleşen OTP çözümü exchange erişimi için ek güvenlik çözümü oluşturacaktır. Kullanıcı, owa, outlook yada activesync üzerinden erişim yaptığı zaman eskiden olduğu gibi erişim talebi birinci güvenlik duvarına gelecek ve birinci güvenlik duvarı da bu talebi OTP cihazına yönlendirecek. OTP güvenlik çözümüde kullanıcının sabit kullanıcı adı ve parolasını doğruladıktan sonra kullanıcıya ikinci sabit olmayan bir şifre iletecek.
Eski geleneksel yöntemde olduğu gibi tek bir kullanıcı adı ve parola ile erişim olmayacak. Kullanıcı, güvenlik duvarını geçmiş ve içeriye girmiş olsa bile ikinci doğrulamayı yapmadığı sürece sistemlere erişim yapamayacaktır. Bu ikinci parola bir sefer kullanılan, sürekli değişen ve zaman sınırlı olan bir paroladır. 30 saniye yada bir dakika içinde sürekli değişmekte ve bu süre içinde doğrulama yapılmasını da şart koşmakta. Kullanıcı kendi kimlik bilgisi haricinden bu ikinci parolayı doğrulayacak ve sonrasında e-posta sistemlerine ulaşacaktır.
OTP çözümleri günümüz de SMS, e-posta, uygulama yada telefon araması yapabilmekte ve her erişim talebi için de dsürekli eğişen ikinci parolayı sunmaktadır. Bu örnek, Exchange Server özelinde vermiş olduğumuz bir örnek ve veri merkezini incelediğimiz zaman Exchange Server haricinde birden fazla uygulama ve hizmet de bulunmakta. RDS Server, SQL Server, Web server ve çok daha fazlası.
Her bir uygulama, her bir servis için ayrı-ayrı OTP seçimini yapabileceğimiz gibi bir-biri ile uyumlu olan OTP çözümlerini de kullanabiliriz. Zaten her bir uygulama için de ayrı güvenlik çözümüne sahip olmak ciddi bir yatırımdır ve bir çok kuruluş da bu yatırımı yapmamakta ve evrensel ikinci güvenlik duvarlarını seçmektedir..
Microsoft ekosistemi için geliştirilen bir çok OTP cihazı var ve Microsoft hizmetleri için ortak güvenlik çözümü sunmakta. Özel bir durum yoksa eğer tek bir OTP cihazı ile veri merkezi içinde bulunan uygulama ve servisleri koryuyabilmektedir.
Bir sonra ki çalışmamız da OTP çözümlerini inceleyeceğiz.
