KİMLİK DOĞRULAMA SIRASINDAN OLUŞAN TRAFİĞİN ŞİFRELENMESİ
Kullanıcı doğrulama sırasında EAP yöntemi kullanılır. EAP’ın açılımı “Extensible Authentication Protocol”dır yani “Genişletilebilir Kimlik Doğrulama Protokolü”dür. EAP kimlik doğrulama yöntemi değildir, bir iletim protokolüdür. Bu yöntem ile kimlik doğrulama sırasında oluşan tüm trafiğin şifreli bir şekilde gidip gelmesi sağlanır. Ayrıca EAP; MD5, TLS, TTLS, PEAP, LEAP gibi kimlik doğrulama yöntemlerinden hangisinin kullanılacağını belirler.
EAP’ın belirlediği MD5, TLS, TTLS, PEAP, LEAP gibi yöntemler şifreleme işinin nasıl yapılacağını tanımlar. Her birinin şifreleme tekniği farklıdır. Bunların dışında EAP-POTP, EAP-PSK, EAP-PWD, EAP-TTLS, EAP-IKEv2, EAP-FAST, EAP-SIM, EAP-AKA, EAP-AKA’, EAP-GTC, EAP-EKE gibi şifreleme yöntemleri de mevcuttur. Burada sadece bazılarına değineceğiz.
ŞİFRELEME YÖNTEMLERİ
EAP-MD5 (Extensible Authentication Protocol – Message Digest Algorithm):
MD5’ın açılımı “Message Digest Algorithm” yani “Mesaj Özetleme Algoritması”dır. Hash tekniği ile minimal güvenlik sağlayan bir yöntemdir çünkü bu yöntem anahtar değişimini sağlamadığı için dictionary ataklarına karşı savunmasızdır. Diğer EAP yöntemlerinden farklı olarak kimlik denetimi karşılıklı yapılmaz. EAP-MD5 yönteminde bu işlem istemciden sunucuya doğru olduğu için man-in-the-middle ataklarına karşı da savunmasızdır.
EAP-LEAP (Extensible Authentication Protocol – Lightweight Extensible Authentication Protocol):
LEAP’ın açılımı “Lightweight Extensible Authentication Protocol” yani “Hafif Genişletilebilir Kimlik Doğrulama Protokolü” dir. LEAP yöntemi IEEE ’nin 802.11 güvenlik standardını onaylamadan önce Cisco firması tarafından geliştirilmiştir. IEEE’nin açılımı “Institute of Electrical and Electronics Engineers” yani “Elektrik ve Elektronik Mühendisleri Enstitüsü” dir. IEEE dünya geneli elektrik, elektronik, bilgisayar, telekomünikasyon gibi mühendislik teori ve uygulamalarının gelişimi için çalışan ve kar amacı gütmeyen önemli bir teknik organizasyondur.
Cisco LEAP, WLAN (wireless LAN)’lar için bir 802.1X kimlik doğrulama tipidir. RADIUS sunucu ile istemci arasında ortak kimlik doğrulama sağlar. LEAP yöntemi bir sunucu üzerinden kullanıcı adı/şifre kontrolü ve WPA anahtar değişimi kullanır. Yani EAP ’lar gibi WPA ve WPA-2 networkleri ile birlikte kullanılabilir. WPA’nın açılımı “Wi-Fi Protected Access” yani “Wi-Fi Korumalı Erişim” dir. Bu anahtar değişimi ile de kullanıcı bazlı güvenlik sağlanmış olur.
Cisco bir standart eksikliği yaşanan bu alanda 802.1x’in ve dinamik WEP (Wired Equivalent Privacy) adaptasyonunun bir parçası olarak, CCX (Cisco Certified Extensions)’i duyurmuştur. Bu yöntem, herhangi bir Windows işletim sistemi tarafından desteklenmezken, birçok WLAN (wireless LAN) cihazı içeren üçüncü parti istemci yazılımı tarafından desteklenmektedir. Bunun için Cisco firmasından hem LEAP hem EAP-FAST yöntemini destekleyen Microsoft Windows 7 ve Microsoft Windows Vista yazılım indirilebilir. LEAP yöntemi network alanında yaygınlaşınca çoğu firmanın desteği artmıştır fakat Cisco firması yöntemin çok güçlü bir güvenliği olmamasından dolayı ya çok karmaşık şifrelerin kullanılmasını ya da EAP-FAST, PEAP veya EAP-TLS gibi yöntemlerin kullanılmasını önermektedir.
EAP-TLS (Extensible Authentication Protocol -Transport Layer Security):
Çift yönlü doğrulama protokolüdür. TLS’nin açılımı “Transport Layer Security” yani “İletim Katmanı Güvenliği”dir. TLS’nin temeli SSL’e dayanır. SSL‘in açılımı “Secure Sockets Layer” yani “Güvenli Soket Katmanı“dır. Bu konuya SSL NEDİR? NE İŞE YARAR? makalemizde değinmiştik.
EAP-TLS’de hem sunucu tarafında hem kullanıcı tarafında dijital sertifikanın bulunması gerekir.
TLS protokolü iki katmandan oluşmaktadır;
- Kayıt protokolü ilk katmandır. Veriler simetrik şifreleme yöntemi ile şifrelenir.
- İkinci katman ise handshake yani el sıkışma protokolüdür. Bu katmanda tarafların birbirlerini yetkilendirmeleri, şifreleme algoritması ve anahtarların karşılıklı değişimi sağlanır.
EAP-TLS’nin şart koşmamasına rağmen çoğu istemci tarafında X.509 sertifikasına ihtiyaç olmaktadır.
Cisco, Enterasys Networks, 3Com, HP, Juniper, Microsoft, Apple, Avaya, Brocade Communications, Foundry, Hirschmann gibi firmalar; Mac OS X 10.3 ve üstü, wpa_supplicant, Windows 2000 SP4, Windows XP ve üstü, Windows Mobile 2003 ve üstü, Windows CE 4.2, Apple’s iOS mobil işletim sistemi ve açık kaynak kodlu işletim sistemleri (open source operating systems) EAP-TLS uygulamalarını desteklemektedir.
EAP-TTLS (Extensible Authentication Protocol – Tunneled Transport Layer Security):
TTLS’nin açılımı “Tunneled Transport Layer Security” yani “Tünelli Ulaştırma Katmanı Güvenliği” dir. Bu yöntem TLS’nin genişletilmiş formudur.
İstemcilerde CA (Certificate Authority) onaylı PKI (Public Key Infrastructure) sertifika olmasına gerek yoktur. Sunucu kendi CA sertifikası ile istemciyle güvenli şekilde kimlik doğrulamasını gerçekleştirir. Sunucu istemciyle arasında tünel kullanabilir. Bu tünel eavesdropping ve man-in-the-middle ataklarına karşı koruma sağlar.
EAP-TTLSv0 ve EAP-TTLSv1 olmak üzere iki sürümü mevcuttur.
Microsoft, Windows 8 ve Windows Phone 8.1 ile birlikte bu formu desteklemeye başlamıştır.
PEAP (Protected Extensible Authentication Protocol):
PEAP’ın açılımı “Protected Extensible Authentication Protocol” yani “Korumalı Genişletilebilir Kimlik Doğrulama Protokolü”dür. PEAP, TTLS ile benzer şekilde dizayn edilmiştir. Sadece sunucu tarafında PKI sertifikaya gerek vardır. PKI’nın açılımı “Public Key Infrastructure” yani “Açık Anahtar Altyapısı” dır. Sonuç olarak PEAP şifreleme yöntemi sunucuda kimlik doğrulaması (authenticate) yapmak için, bir TLS tünel ve sunucu tarafında bir public key sertifikası kullanır. İlk olarak istemci (client) ile kimlik doğrulama sunucusu (authenticate server) arasında TLS şifreleme tüneli (encrypted TLS tunnel) oluşturulur.
Kullanıcının kimliğinin doğrulanması için bu tünel içerisinde kimlik doğrulama bilgileri şifreli şekilde geçer. Böylece güvenlik sağlanmış olur. WPA ve WPA-2 için onaylanmış iki tip PEAP vardır. Bunlar;
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
Dır. PEAPv0 ve PEAPv1 ‘un her ikisi de TLS tünel kullanır ve dış kimlik doğrulama metodudur. EAP-MSCHAPv2 ve EAP-GTC ise kullanıcı ve cihaz kimlik doğrulaması sağlayan bir iç kimlik doğrulama metodudur. Bir üçüncü kimlik doğrulama metodu ise çoğunlukla EAP-SIM ile birlikte kullanılan PEAP’tır.
Cisco ürünlerinde; PEAPv0, iç EAP metodu olan EAP-MSCHAPv2’i ve EAP-SIM’i desteklerken; PEAPv1, iç EAP metodu olan EAP-GTC ve EAP-SIM’i desteklemektedir. Microsoft firması ise sadece PEAPv0’ı desteklediği için v0 ve v1 gibi sürüm (version) kavramını kullanmaz ve basitçe PEAP şeklinde isimlendirir. Ayrıca Microsoft firması yine sadece EAP-MSCHAPv2 metodunu destekler ve EAP-SIM iç EAP metodunu desteklemez. Fakat buna rağmen microsoft diğer çoğu cisco ve üçüncü parti sunucu ve yazılımın desteklemediği PEAPv0’ın farklı bir formu olan PEAP-EAP-TLS’ı destekler. PEAP-EAP-TLS, istemci tarafında dijital bir sertifika yüklenmesini veya daha güvenli olan bir smartcard ister. EAP-TLS ile çok benzer olan PEAP-EAP-TLS istemci tarafında dijital bir sertifika sayesinde daha güvenli ayılabilir. Sonuç olarak PEAPv0/EAP-MSCHAPv2 microsoft’a da uygun olduğu için en yaygın kullanılan şifreleme yöntemidir. Ayrıca Cisco Secure Services Client (SSC) şu an PEAP-EAP-TLS yöntemini desteklemektedir.
PEAPv0/EAP-MSCHAPv2: İç kimlik doğrulama yöntemi MSCHAPv2’nin açılımı “Microsoft’s Challenge Handshake Authentication Protocol” dür yani “Microsoft Karşılıklı Kimlik Doğrulama Protokolü”dür. Bu form Microsoft NT ve Microsoft Active Directory’de bulunan ve MS-CHAPv2 destekleyen database’e kimlik doğrulama yetkisi verir.
PEAPv0/EAP-MSCHAPv2, PEAP yönetimin en eski ve en yaygın formudur ve dünyada EAP-TLS ’den sonra ikinci en çok kullanılan şifreleme yöntemidir. Dolaysıyla Microsoft, Apple ve Cisco gibi birçok istemci/sunucu firması ve Open1x.org projesinden xsupplicant ve wpa supplicant gibi diğer uygulamalar tarafından desteklenmektedir. Ayrıca bu yöntem, diğer EAP şifreleme yöntemleri ile birlikte dinamik şekilde kullanılabilmektedir.
PEAPv0/EAP-MSCHAPv2 ile art niyetli bir istemcinin CA (Certificate Authority) sertifikası onaylanmaz ve böylece örneğin MS-CHAPv2 handshake sağlayan sahte bir Wireless Access Point ağa alınmamış olur.
PEAPv1/EAP-GTC: Bu yöntem cisco firması tarafından var olan diğer korunmuş bir kanal vasıtasıyla yapılan kimlik doğrulama temelli dizinler ve token card’ları ile birlikte ortak çalışılabilirliği sağlamak amacıyla oluşturulmuştur. Bu yöntemi Windows İşletim sistemleri desteklememektedir.
