İçindekiler
- Özet
- LDAP Nedir?
- LDAP bir AAA Sunucusu mu?
- RADIUS Nedir
- RADIUS ve LDAP Arasındaki Farklar
- RADIUS Kimlik Doğrulaması Nasıl Çalışır?
- RADIUS Sunucuları Nasıl Kullanılır?
- Uygulama
-
Güvenli LDAP’ı Etkinleştirme: LDAPS’ı Yapılandırma
-
- Sonuç
- Kaynakça
Özet
Teknolojinin gelişmesiyle beraber internetin kullanılmadığı sektör kalmadı diyebiliriz. Bunun beraberinde hayatımızın her alanında güvenli ve sürdürülebilir internet bağlantısı zorunlu halen gelmiştir. Bu kadar fazlalaşmasından kaynaklı yaygınlaşan çevrimiçi cihazların yönetiminde güvenlik sorunları ortaya çıkmaktadır. Özellikle ISP’ler için kurum ve kuruluşların ağa bağlı cihazları tanımlaması, protokolleri işlemesi ve tüm yasal durumlarda izlenebilir olması çok önemlidir. Bunu başarmak için kurumların internet hizmeti verdiği personeli tanımlayabilmesi, yetkisiz erişimi engelleyebilmesi ve çalışma alanı dışındaki internet hizmetlerine erişimi sınırlandırabilmesi gerekir. Bunu meydana getirmek için, güvenlik duvarları günümüzde bir ölçekten daha büyük kurulumlarda hizmet vermektedir.
Bu nedenle yöneticiler birden çok kimlik doğrulama standardını ve protokolünü karşılaştırarak her birinin artılarını ve eksilerini tartabilir. RADIUS ve LDAP, kullanıcı kimlik doğrulaması ve yetkilendirmesi için yaygın olarak kullanılan iki protokoldür. İlk bakışta benzer olsalar da, farklıdırlar ve birkaç önemli farklılıkları vardır.
LDAP Nedir?
LDAP (Lightweight Directory Access Protocol – Hafifletilmiş Dizin Erişim Protokolü), yapısı son kullanıcılar için oldukça karmaşık olan X.500 standardına göre oluşturulan dizinler için kullanılan Michigan Üniversitesi’nde geliştirilen DAP protokolünün hafif bir versiyonudur. LDAP oluşturmanın bir başka nedeni de, ilk günlerde DAP protokolünün yalnızca OSI (Open System Interconnection) referans modelini kullanmasıdır. LDAP protokolü ise TCP/IP protokolünü kullandığı için ağ üzerinden dizinlere erişime izin verir. LDAP protokolünün bir diğer önemli özelliği de açık bir protokol olmasıdır. Bu sayede protokolün veri modeli geliştirilebilir ve veriyi tutan sunucunun türünden bağımsız olarak verilere erişilebilir. LDAP açık bir protokol olduğu için günümüzde çeşitli uygulamalarda yaygın olarak kullanılmaktadır. OpenLDAP programı aracılığıyla Linux işletim sistemlerinde kullanılan LDAP protokolü; Windows işletim sistemlerinde orta ve büyük ölçekli işletmelerde yaygın olarak kullanılan bir hizmet olarak Active Directory’dir. Active Directory, birçok işlevi için (yeni kullanıcıları ve yeni grupları tanımlama, mevcut kullanıcı bilgilerini alma ve güncelleme ve nesneden nesneye esnek sorgulama gibi) arka planda LDAP protokolünü kullanır. Ayrıca, bir Active Directory sunucusuna bağlanırken gerekli bilgiler LDAP kullanılarak alınır ve değiştirilir.
LDAP verilerini incelendiğinde 3 ana özellik öne çıkmaktadır. İlk olarak LDAP verilerinin alt gruplara ve hiyerarşik bir yapıya sahip olmasıdır. Yani buna bakacak olursak eğer; nesne tabanlı ve sıradüzensel bir yapıda olmasıdır. 2. Ana özelliğe bakacak olursak ise; her nesnesinin kendine özgü değerler (value) ve niteliklerden (attribute) oluşmasıdır. Bu değerler ve nitelik nesneyi dizinde bulunan diğer nesnelerden farklı kılmaktadır. Bunlardan kaynaklı nesnelere ait nitelikler birden fazla değere ait olabilir ve bu değerler metin ya da ikilik sistem verileri de olabilirler. 3. Ana özellik ise depolanan nesneyi tanımlayan tek bir belirleyici ismin (distinguished name – DN ) olmasından kaynaklanmaktadır.
LDAP yapılarında bir ağaç (tree) hiyerarşisi kullanmaktadır. Bir ağaçtaki yapraklar nasıl farklı dallar aracılığıyla gövdeye ve sonrasında köke bağlanıyorsa LDAP’ta nesneleri kendi içerisinde farklı olsalar bile ortak noktalarından kaynaklı bir grup içerisinde bulundurulurlar. Ağacın en üst kısmındaki kök (root) dizini bulunmaktadır. Kök dizin bir organizasyonun içerisinde olan ana dizin olarak geçer.
LDAP bir AAA Sunucusu mu?
Ağ güvenliğinde AAA, kimlik doğrulama (authentication), yetkilendirme (authorization) ve hesap oluşturma (accounting) anlamına gelir. Bu, yukarıda belirtilen tüm işlevleri yerine getirdikleri için RADIUS sunucularına sıklıkla uygulanan bir takma addır.
Bir LDAP sunucusu teknik olarak benzer işlevleri yerine getirebilir, dolayısıyla düzgün yapılandırılmış bir LDAP sunucusunu aynı adla arayabilirsiniz. Bununla birlikte, LDAP sunucularıyla ilgili sorun, ölçeklenebilirliklerini keskin bir şekilde sınırlayan şirket içi donanım gerektirmeleridir. Ek olarak, LDAP, bugün tam olarak en güvenli kimlik doğrulama yöntemi olmayan kimlik bilgilerine dayalı kimlik doğrulama ile sınırlıdır.(Yıldırım ve İnce 2021) .
AAA sunucusu, 802.1X standardı olarak da bilinen WPA2-Enterprise için çok önemli bir bileşendir . AAA sunucuları ağ kimlik doğrulaması için özel olarak tasarlanmıştır ve LDAP sunucuları kendi başlarına Wi-Fi üzerinde kimlik doğrulaması yapamaz. Bu nedenle, AAA sunucularının işlevlerinin birçoğunu yerine getirebilseler de, doğal olarak RADIUS gibi diğer seçeneklerden daha düşüktürler.
RADIUS Nedir?
RADIUS (Remote Authentication Dial-in User Service), ilk olarak Livingston Enterprise tarafından geliştirilmiş ve sonrasında IETF RFC 2865 ve RFC 2866 ile standarize edilmiştir. RADIUS client-server modeli tabanlıdır ve mesaj değişimi UDP protokolü ile gerçekleşir. Network Access Server (NAS), RADIUS kullanıcısı olarak davranır ve kullanıcı isteğini RADIUS server’a aktarır. Diğer RADIUS kullanıcıları wireless access point, routerler, ve switchler olabilir. RADIUS server kullanıcılardan istek aldıktan sonra için kimlik doğrulama (authentication), yetkilendirme (authorization), ve hesap oluşturma (accounting) (AAA)işlemlerini gerçekleştirir. Kullanıcı ve server arasındaki iletişim private key ile şifrelendirilmiş şekilde gerçekleştirilir, bu sayede şifre asla network üzerinden gönderilmez. Kullanıcı ve serverlar iletişim olmadan önce bu güvenlik yöntemine göre konfigure olmuştur, ve eğer şifreler uyuşmazsa bağlantı sonlandırılır. RADIUS serverlar farklı databaseler’e (örneğin SQL, LDAP) entegre edilebilir authentication methodları kullanır (Demiröz,2012).
RADIUS Kimlik Doğrulaması Nasıl Çalışır?
RADIUS protokolünde, uzak ağ kullanıcıları ağlarına bir ağ erişim sunucusu ( NAS ) aracılığıyla bağlanır. NAS, uzak kullanıcı hakkında kimlik doğrulama, yetkilendirme ve yapılandırma bilgilerini almak için kimlik doğrulama sunucusunu sorgular. İstemcinin genellikle bireysel bir kullanıcı olduğu diğer istemci-sunucu uygulamalarının aksine, RADIUS istemcileri bir ağa erişmek için kullanılan NAS sistemleridir ve kimlik doğrulama sunucusu RADIUS sunucusudur.
RADIUS protokolü, uzak kullanıcıların ağa bağlanması için sunuculara merkezi kimlik doğrulama hizmetleri sağlar. Uzak kullanıcı erişimi kimlik doğrulama sunucularının türleri şunları içerebilir:
- Modem havuzları aracılığıyla şirket veya ISP ağlarına erişime aracılık eden çevirmeli sunucular
- Uzak kullanıcılardan özel bir ağa güvenli bağlantılar kurmak için gelen istekleri kabul eden sanal özel ağ sunucuları
- Bir ağa bağlanmak için kablosuz istemcilerden gelen istekleri kabul eden kablosuz erişim noktaları .
- Uzak kullanıcıların ağlara erişimine aracılık etmek için 802.1x kimlik doğrulamalı erişim protokolünü uygulayan yönetilen ağ erişim anahtarları
RADIUS Sunucuları Nasıl Kullanılır?
RADIUS, iki yaklaşım kullanarak kimlik doğrulaması yapar:
- Parola Doğrulama Protokolü (PAP) . RADIUS istemcisi, uzaktaki kullanıcının kullanıcı kimliğini ve parolasını RADIUS kimlik doğrulama sunucusuna iletir. Kimlik bilgileri doğruysa, sunucu kullanıcının kimliğini doğrular ve RADIUS istemcisi uzak kullanıcının ağa bağlanmasını sağlar.
- Karşılıklı Kimlik Doğrulama Protokolüne (CHAP) meydan okuyun . Üç yollu el sıkışma olarak da bilinen CHAP kimlik doğrulaması, şifrelenmiş bir paylaşılan sır kullanan istemci ve sunucuya dayanır. PAP ile karşılaştırıldığında , CHAP kimlik doğrulamasının daha güvenli olduğu kabul edilir çünkü kimlik doğrulama alışverişlerini şifreler ve oturum ortasında tekrarlanan kimlik doğrulamaları yapacak şekilde yapılandırılabilir.
Bir RADIUS proxy istemcisi, RADIUS kimlik doğrulama isteklerini diğer RADIUS sunucularına iletmek üzere yapılandırılabilir. RADIUS proxy’leri, büyük veya coğrafi olarak dağınık ağlarda merkezi kimlik doğrulama sağlar.
RADIUS protokolü, birçok ağ ürününe dahil edilmiş ve yetkilendirme ve hesap oluşturma için dizin hizmeti yazılımıyla entegre edilmiş olgun bir kimlik doğrulama protokolüdür. Örneğin, RADIUS, Microsoft’un Microsoft Active Directory ile entegre olan Ağ İlkesi Sunucusunda uygulanmaktadır.
RADIUS ve LDAP Arasındaki Farklar
Kullanıcıların kuruluşlarının kaynaklarına erişim sağlayan kimlik doğrulama protokollerinden olan RADIUS ve LDAP aynı olmayıp farklı çalışma prensiplerinden olduğunu söyleyebiliriz. Örnek verecek olursak eğer; LDAP sadece güvenli olmayan kimlik doğrulama bilgilerine dayanır. Bununla beraber her gün kullanıcı adlarını ve parolalarını hedef alan milyonlarca saldırıyla, kimlik bilgilerinin kullanabilirlik ve güvenlik açıklarının hızlandığını söyleyebiliriz.
LDAP sunucularındaki güvenlik açığını kullanıcıların farkında olmadan yanlış sunucuya bağlanmasından koruyan bir yola sahip olamamalıdır. Farklı siber saldırıların hatalı erişim noktaları oluşturarak bunları insanlara bağlanmaya teşvik eden kullanıcıları avlar. RADIUS ise önemli güvenlik mekanizmalarının kullanılmasına olanak tanır. Bir kullanıcının sunucu sertifikasını kontrol ederek RADIUS kimlik doğrulamak için cihazını yapılandırarak sadece istediği ağa bağlanmasını garanti eder. Sunucu sertifikası, cihazın aramış olduğu sertifika değilse kimlik doğrulama için bir sertifika veya kimlik bilgisi göndermez. Bu, kullanıcıların Ortadaki Adam saldırısı gibi çeşitli farklı ağ saldırılarının kurbanı olmalarını önler .(Raphaely, E. 2023).
Uygulama
Güvenli LDAP’ı Etkinleştirme: LDAPS’ı Yapılandırma
Başlat’ta MMC yazın ve ardından Enter tuşuna basın . Kullanıcı Hesabı Denetimi sorarsa, devam edin ve istediğiniz eylemi gösterdiğinden emin olun. Bundan sonra, Evet’i seçin .
Açılan MMC konsolunda, Dosya’yı ve ardından Ek Bileşen Ekle/Kaldır’ı tıklayın .
Kullanılabilir Ek Bileşenler’in altında, Ek Bileşen Ekle veya Kaldır’da devam edin ve Sertifikalar’ı seçin ve ardından Ekle’yi tıklayın .
Sertifikalar ek bileşeninde, Bilgisayar hesabı’nı seçin ve ardından İleri’ye tıklayın .
Bilgisayar Seç’te Yerel öğesini seçin . Doğru bilgisayarı seçtikten sonra Tamam’ı ve ardından Bitir’i tıklayın .
Ek Bileşen Ekle veya Kaldır’da Tamam’ı seçin .
Konsol ağacında, Sertifikalar’ı (<bilgisayar>) genişletin, Sertifikalar’a sağ tıklayın , Tüm Görevler’e tıklayın ve ardından Yeni Sertifika İste’ye tıklayın . Not: Uzak bir DC’ye bağlıysanız bunu yapamazsınız.
Sertifika Kaydı’nda İleri’ye tıklayın .
Sertifika Kayıt Politikasını Seç’te, Active Directory Kayıt Politikası’nı (varsayılan) seçin ve İleri’ye tıklayın .
Sunucu kimlik doğrulamasına izin veren bir sertifika seçin. Sunucu Kimlik Doğrulamasını Destekleyen Bir Sertifika Yayınlama bölümünde açıklandığı gibi özel bir sertifika kullanmak isteyebilirsiniz. Şimdi devam edin ve Kaydol’u tıklayın .
İşlemin tamamlanması birkaç saniye sürebilir. Sertifika Kaydı iletişim kutusunda Bitir’i tıklayın . Artık ilk DC için bir dijital sertifikanız var!
Parlak yeni sertifikanızı kontrol etmek için, sonuçlar bölmesinde, aldığınız sertifikayı çift tıklayarak Sertifika özelliklerini açın .
Ayrıntılar sekmesini tıklayın . Alan sütununda devam edin ve Gelişmiş Anahtar Kullanımı ‘ nı seçin . Sunucu Kimlik Doğrulamasının (1.3.6.1.5.5.7.3.1) listelendiğini doğrulamak isteyeceksiniz.
LDAPS’yi etkinleştirmeniz gereken tüm DC’lerde bunu tekrarlayın.
LDAP’yi bir TLS Bağlantısı üzerinden test edin
TLS üzerinden LDAP’nin düzgün çalışıp çalışmadığını test etmek için ldp.exe aracını kullanın.
Not: ldp.exe sisteminizde yoksa, Windows Uzak Sunucu Yönetim Kiti’nden (RSAT) Active Directory Dizin Hizmetleri ( AD-DS ) yönetim araçlarını yüklemeniz gerekir:
Windows 7 için Uzak Sunucu Yönetim Araçlarını indirin. SP1 Windows 8 için Uzak Sunucu Yönetim Araçlarını İndirin
- Bir komut istemi açın ve ldp yazın . Gir’i tıklayın . LDP uygulama penceresi görünür.
- Bağlantı’yı ve ardından Bağlan’ı seçin . Bağlan iletişim kutusu görünür.
- Sunucu metin kutusuna AD sunucunuzun adını yazın. Bu örnek için, DC’nin tam etki alanı adını (FQDN), Dijital Sertifikanın Konu Alternatif Adında (SAN) göründüğü gibi yazın.
- Bağlantı Noktası metin kutusuna 636 yazın .
- SSL için kutuyu işaretleyin .
- Tamam’ı tıklayın. Şimdi, yukarıdaki prosedür olmadan bağlanamazsınız.
İşlemden sonra “Host SSL’yi destekliyor, SSL cipher gücü = 128 bit” uyarısına dikkat edin
Not: Doğru DC’ye bağlanmayı denerseniz, ancak verilen sertifikada listelenenle aynı FQDN’yi kullanmazsanız (örneğin, bunun yerine IP adresini kullanarak), LDAPS kullanarak bağlanamazsınız.
- Bağlantı menüsünü seçin, Bağla’yı ve ardından Tamam’ı tıklayın .
LDAPS düzgün yapılandırılmışsa, komut çıktısı bağlama için kullandığınız kullanıcı adını ve etki alanı adını göstermelidir. AD ağacında gezinmeye başlayabilirsiniz.
Şu komutu kullanırsanız: netstat -no | “:636”yı bulun , DC bağlantısını bulacaksınız.
SONUÇ:
RADIUS ve LDAP, merkezi kimlik doğrulama hizmetlerine izin verir. LDAP, ağda çoklu oturum açma hizmetlerine izin verebilir, ancak oturum için yerleşik araçlardan yoksundur. Ayrıca LDAP, TLS’yi (Transport Layer Security) sarmalayıcı olarak kullanarak kolayca şifrelenebilir. LDAP’nin basitliği de Microsoft gibi önceden kurulmuş bir ağ ile kolay kurulum ve entegrasyon sağlar. RADIUS, bağlanabildiği için sunulan hizmetlerde esneklik sağlar hemen hemen tüm diğer ağ hizmetlerine. RADIUS genellikle ağda daha yüksek hız sağlar basitliği nedeniyle işlemler. Ancak, bu hizmetlerin kurulumu zaman alıcı olabilir ve kafa karıştırıcı. Kısacası, LDAP, basit parola kimlik doğrulamasının gerekli olduğu durumlarda öne çıkar RADIUS, kimlik doğrulama için ek hizmetler sunarken, işlem sırasında artan karmaşıklık sunar.
KAYNAKÇA
Bilgi İşlem Daire Başkanlığı (2013). LDAP (Lightweight Directory Access Protocol – Hafifletilmiş Dizin Erişim Protokolü) 03.06.2023 https://bidb.itu.edu.tr/seyir-defteri/blog adresinde erişildi.
Demiröz. M. (2012), Radius Nedir? Çeşitleri Nelerdir ve Konfigürasyonu Nasıl Yapılır? 03.06.2023, https://www.mshowto.org/radius-nedir.html adresinden erişildi.
Raphaely, E. (2023). LDAP Vs. RADIUS 03.06.2023, https://www.cloudradius.com/ldap-vs-radius/ adresinden erişildi
Yıldırım ve İnce (2021) Kampüs Ağlarında İnternet Erişimi İçin Bağlantı Katmanı Kimlik Doğrulama Uygulaması, Coputer Sicience pp: 82-92
Bu makale smallseotools sitesi üzerinden 03.06.2023 tarihinde kontrol edilmiştir. Makale, benzerlik değeri ile kabul edilmiştir. Plagiarism: %20 Unique: %80
Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.