HTTP Kullanici Asillama ve Yetkilendirme

1
HTTP Kullanici Asillama ve Yetkilendirme

• Ozan Eren BILGEN
• ITÜ Bilisim Enstitüsü
• Bilgisayar Bilimleri Yüksek Lisansi
• Ag Güvenligi Dersi Sunumu

2
Giris

• Webdeki bazi kaynaklar herkese açik degildir.
• HTTP istekleriyle bu asillama ve yetkilendirme
  isleri nasil gerçeklenir?
• Apache web sunucusu örneklemesiyle bu ayarlar
  nasil yapilir?

3
Gündem

• Giris
• HTTP Temel (Basic) Yetkilendirme
• HTTP Özet (Digest) Yetkilendirme
• Proxy Sorunlari
• Sertifika Temelli Yetkilendirme
• Apache Yetki ve Erisim
• Sonuç

4
Genel Bakis

• HTTP protokolü kullanicinin tanimlanmasi için bir
  takim yapilar barindirir.
• Sunumda bu yapilari ve evrimlerini gerektiren
  süreçleri inceleyecegiz.

5
Sorunun Konumu

• Web sunuculari genellikle anonim istekleri
  cevaplarlar ama bazen isler degisir.
• Sirketler bazi verilerini sadece çalisanlara
  açabilirler, bazi verileriyse parasini ödemis
  müsterilerle paylasabilirler.
• HTTP yetkilendirme, mevcut protokol üzerinden
  bunu saglamak için tasarlanmistir.

6
Seçenekler

• Gizli URL
• IP/DNS sinirlamasi
• Kullanici Adi/Sifre eslestirmesi

7
Gizli URL

• www.oebilgen.com/super_gizli.html
• Kullanicilar tarafindan paylasilir.
• Arama motoru örümcekleri indeksler.
• Gizlilik güvenlik degildir!

8
IP/DNS sinirlamasi

• www.oebilgen.com/butun_siteyi_sil.cgi
• DNS Spoofing
• IP Address Takeover

9
Kullanici Adi/Sifre eslestirmesi

• Kisiye özgü sinirlama imkani.
• Adim 1 Asillama (Bilgilerinin alinmasi)
• Adim 2 Yetkilendirme (Kaynaga erisim)
• Sifreler de sifrelenmis halde tutulmalidir.
• htpasswd uygulamasi
• Nasil yapilacak?
• Temel yetkilendirme.
• Özet yetkilendirme.

10
HTTP Temel Yetkilendirme

• Istek GET /super_gizli.html HTTP/1.0
• CevapHTTP/1.0 401 Unauthorized...WWW-Authentic
  ate Basic realmPek gizli sifren ne yabanci?
• Yeni istekGET /super_gizli.html
  HTTP/1.0...Authorization Basic
  YabanciGizliSifre Base64
• HTTP stateless, her seferinde tekrarlanmali.
• Çok rahat izlenir, FTP ve Telnet gibi kötü.

11
HTTP Özet Yetkilendirme

• HTTP 1.1 yeniligi.
• Kullanici adi, sifre, rastgele sayi, HTTP metodu
  ve URLnin özeti, genelde MD5.
• Rastegele sayi Özet(IPC,, TS,, KS)
• Ek alanlar Opaque, Algorithm, Domain ve Stale.
• Özetin içine istenen URL eklenir, böylece en
  fazla bir adrese erisim ele geçirilir.

12
HTTP Özet Yetkilendirme (2)

• CevapHTTP/1.0 401 Unauthorized...WWW-Authentic
  ate Digest realmParola?,nonce3f28a42b9f08ec
  40234802a38c9fe04121,? 34 harfopaque43eaf43b53
  cf453b4ecf123aaf1cb380 ? 32 harf
• Yeni istek...Authorization Digest
  usernameYabanci,realmParola?,nonce3f28a4
  2b9f08ec40234802a38c9fe04121, ?
  aynisiuri/super_gizli.html,responsee1211313
  aa231sbcf647655fd423d594,? 32 harfopaque43eaf4
  3b53cf453b4ecf123aaf1cb380 ? aynisi

13
Proxy Sorunlari

• WWW-Authenticate, Authentication-info ve
  Authorization basliklari aynen iletilmeli.
• Dosyalar bellekte tutulmamali.Aykiri durumlar
• must-revalidate Yetkilendirmeyi proxy yapar.
• public Proxy herkese dagitabilir.

14
Açiklar ve Öneriler

• Temel ve Özet, HTTP asillama ekleri Man in the
  middle saldirisina karsi savunmasizdir.
• Sunucu sifreleri iyi korumalidir
• Sifre dosyasi sifrelerin özetini tutmalidir.
• Dosya, veriler sifresizmisçesine korunmalidir.
• Realm özgün olmalidir ? sonuna alan eklenir.
• Rasgele sayi zaman damgasi tasimalidir.

15
Sertifika Temelli Yetkilendirme

• Apache mod_digesti ekledi ama tarayicilar HTTPS
  ile SSL/TLS tercih ettiler.
• Açik anahtar ile azami güvenlilik Sertifika
  temelli yetkilendirme ile sunucuyu sinama imkani
  dogdu.
• X.5009v3 sertifikalariyla grup tabanli erisim
  kontrolü, kullanici ayrintilariyla ugrasmadan
  yapildi.

16
Apache Yetki ve Erisim

• Kullanici gruplariyla kolay erisim denetimi
• htpasswd c /var/www/html/oebilgen oe
• /var/www/html/oebilgen dosyasinin
  içerigioeRcWasdqed18a3maviDxFw1qr48qlth
• Ilgili klasörde .htaccess dosyasina veya
  sunucunun access.confundaki ltDirectorygt bölümüne.

17
Apache Yetki ve Erisim (2)

• AuthName Süper Gizli BölgeAuthType Basic-
  AuthType DigestAuthUserFile /var/www/kullanicilar
  require valid-user- require user oe- yetkili
  oe mavi require group yetkili

18
Apache Yetki ve Erisim (3)

• ltLimitgt- ltLimit POSTgt require ...lt/Limitgt
• Çok I/O islemi DBM formati (Indeksli)
• Apache mod_auth_dbm dbmmanage
• kullanicilar.pag anahtar
• kullanicilar.dir degeri

19
Özet

• Her bilgi herkese açik degildir ama güvenlik
  gizlilikle saglanamaz.
• Web saldirilari popülerdir ama HTTP Basic
  Authentication önlemi yetersizdir.
• Digest Authentication tutulmamis, SSL/TLS
  kullanilmistir.
• Apachede grup ve kullanici temelli sinirlamalar
  dosya ve klasörlere uygulanabilir.

20
Dinlediginiz Için Tesekküler...

• R. Oppliger, Security Technologies for the WWW,
  Artech House, 1999.
• HTTP - Hypertext Transfer Protocol,
  http//www.w3.org/Protocols/
• Apache HTTP Server Project, http//httpd.apache.
  org/
• RFC 2069 HTTP Digest Authorization,
  http//www.ietf.org/rfc/rfc2069.txt
• GDBM GNU DBM, http//www.gnu.org/software/gdbm
  /