Erişim Kontrol Sistemleri, kurumsal varlıkların korunması için kimin veya neyin, nereye, nasıl erişeceğini veya erişemeyeceğini kontrol için tasarlanmış elektronik veya fiziksel sistemlerdir. İki tür erişim kontrolü vardır: Fiziksel ve mantıksal

Fiziksel Erişim Kontrolleri

Fiziksel erişim kontrolleri, binalar, katlar, odalar veya belirli bölümlere fiziksel erişim izinlerini kontrol eder. Kişilerin, erişim izni olmayan yerlere girmesinin engellenmesi amaçlanır. En basitinden akla gelen kapı, çit, duvar gibi kontroller erişimi kısıtlamak için kullanılan kontrollerdir. Yönetilebilir fiziksel kontroller için anahtar, şifre, kart veya biometric kimlik gibi erişim kontrolleri kullanılır. Bir kapıya kilit takmanız durumunda sadece anahtara sahip olanlar kapı arkasına erişim sağlayabilir. Bankalardaki kiralık kasalar gibi iki farklı anahtar ile erişim sağlanan kontroller de kullanılmaktadır.

indir

Fiziksel erişim sistemleri için farklı teknoloji ve farklı şekillerde birçok erişim tokenı vardır. Okuyucuya sunulacak bilgi token üzerindedir. Token üzerinden okunan bilgi, işlenmesi için sisteme gönderilir. Token, okuyucu üzerine tutulabilir, okuyucuya takılabilir veya okuyucudan geçirilebilir. Okuyucu, okuduğu bilgiyi sisteme gönderir. Sistem, gönderilen bilginin, okunduğu gün, tarih ve zamanda geçerli olup olmadığını ve erişim izni olup olmadığını kontrol eder.

Kartlı erişim kontrollerinde, token olarak kart kullanılır. Yaygın olarak bina girişlerindeki turnikelerde, kat veya odalara girişlerdeki kartlı erişim sistemlerinde kullanılmaktadır. Yetkisiz erişimleri engellemek için kişilerin birbirine yakın geçmesi, erişim yetkisi olan bir kartın başkasına kullandırılması gibi senaryolara dikkat edilmelidir. Giriş kontrolü aynı anda birden fazla kişinin erişim yapamayacağı şekilde olmalıdır. Fiziksel olarak buna izin vermeyen kontroller kullanılabilir. Kişilerin, başkasının yerine kart okutarak, yetkisiz birine denetim dışı erişim yetkisi vermesinin önüne geçmek için bir alana erişim sağlamış olan bir kartın, çıkış yapmadan tekrar erişim talebinde bulunması engellenmelidir. Bu tür kontrollere Anti-Passback kontroller denir.

images

Biometric erişim kontrollerinde kart yerine parmak izi, yüz, retina, el geometrisi, ses ve benzeri biyolojik kimlikler kullanılır. Öncelikle biometric kimliklendirme yapmak için kullanıcının ilgili biyolojik verisi toplanır. Toplanan veri kullanılarak şablon bir biyolojik kimlik oluşturulur. Biometric erişim kontrolü, okuyucudan okutulan biyolojik verinin, biyolojik kimliklerin kayıtlı olduğu veritabanında belirli oranda eşleşme gerçekleşmesi ile sağlanır. Eşleşme için okuyucudan alınan şablon ile veritabanında kayıtlı olan şablon arasında benzerlik derecesi için bir eşik değeri belirlemek gerekir. Eşleşmenin gerçekleşmesi bu eşik değerine bağlıdır. Eşleşme yapacak uygulamalarda eşik değeri ayarlanabilir olmalıdır. Bazı biometric sistemlerin, parmak sıcaklığı(finger warmth), göz kırpma(blinking) gibi canlılık algılama mekanizmaları da vardır. Bu mekanizmalar sahte biometric örneklerin kullanılmasını engeller.

20100707-10

Fiziksel erişim kontrol sistemleri, güvenlik kameraları, ihlal algılayıcılar gibi fiziksel erişim kontrol cihazlarının yönetim ve kontrolünü de içerir. Güvenlik personeli, birçok farklı noktayı, tek merkezden izleyip, kontrol edebilir.

Adsız

Fiziksel erişim kontrol sistemleri uygulamaları dört bölümden oluşur:

Kimliklendirme: Fiziksel erişim yetkilendirmesi için kişisel bir tanımlayıcı (PII – Personal Identifiable Information) gerekir. Sensörler, erişim yetkisi vermek için kişisel kimlik doğrulama (PIV – Personal Identity Verification) kartından tanımlayıcı bilgiyi okur.

Ziyaretçi Yönetimi: PIV kartı olmayan ziyaretçiler, erişim için tanımlanmalıdır.

Park İzin Yönetimi: OCAO(The Office of the Chief Administrative Officer), park izinlerini yönetir. Kişi, park için izin almış ise park izni verilir. Park izni alınınca, OCAO personeli, park edenin adı, e-mail adresi, izin numarası ve tipi, giriş tarihini ve izin bitiş tarihini girer.

Alarm İzleme ve İhlal Algılama: OCAO personeli ihlal algılama sistemini (IDS – Intrusion Detection System) izler. Kişi veya cihazların yetki ihlalleri algılanır. İhlal olduğunda alarm üretilir.

Mantıksal Erişim Kontrolleri

Mantıksal erişim kontrolleri, kullanıcıların erişimlerini sınırlayarak bilgi ve sistemleri koruyan mekanizmalardır. Mantıksal erişim sistemlerinin yönetimi, sistem veya ihtiyaç duyulan bir işlem üzerinde kullanıcı erişimlerinin uygulanması(implementing), izlenmesi(monitoring), düzenlenmesi(modifying), test edilmesi(testing) ve sonlandırılmasını(terminating) içerir. Erişim sistemlerinin yönetimi, kimin neye erişim izni olacağının kararlarını içermez. Bu kararlar, veri sahiplerinin sorumluluğundadır. Bu kararlar, organizasyon politikaları, çalışanların iş ve görev tanımları, bilginin hassasiyeti, kullanıcıların bilme gerekliliği gibi faktörlere göre verilir. Erişim talepleri bir onay süreci ile gerçekleştirilmelidir..

Erişim izinlerinin uygulanması ve yönetiminin nasıl ve kimin takdirinde olacağına dair üç farklı yönetim yaklaşımı vardır:

Merkezi Yönetim: Kullanıcıların ihtiyaç duydukları aksiyonları gerçekleştirmek veya veriye erişmek için gerekli olan erişim kontrolleri merkezi bir birimden yönetilir. Avantajı, bilgiler üzerindeki kontrol çok sıkıdır. Çünkü değişiklik yapma hakkı sadece sistem yöneticilerinde vardır.

Merkezi Olmayan Yönetim: Erişim kontrolleri, dosyaların/verilerin sahipleri tarafından yönetilir. Avantajı, erişim kontrol yönetimi, doğrudan bilgiden sorumlu olan kişilerin elindedir. Dezavantajı, talepler bir merkezde işlenmediği için erişim kontrolleri yönetimi zordur. Bir kişi ayrıldığında veya transfer olduğunda erişim izinlerini sonlandırmak zordur.

Hybrid Yönetim: Bazı bilgiler için merkezi yönetim, bazı bilgiler için merkezi olmayan yönetim kullanılır. Genel erişim yönetiminden merkezi yönetim sorumludur. Dosya sahipleri, kontrolleri altındaki dosyalar için kullanıcılara erişim izni verebilir. Örnek olarak yeni bir çalışan işe başladığında, merkezi yönetim, işi ile ilgili erişim izinlerini kendisine verir. Geçici olarak dahil olduğu bir proje için kurumsal portalde, sadece görme yetkisi olan bazı proje raporlarında değişiklik yapma ihtiyacı olabilir. Bu durumda proje yöneticisi kullanıcıya gerekli izinleri verebilir.

Belirli bilgi kaynaklarına, belirli kişiler üç farklı yetki ile erişebilir:

Read only: Görüntüleme, kopyalama ve yazdırma hakkı.

Read and Write: Görüntüleme, kopyalama, yazdırma, ekleme, düzenleme, silme hakkı

Execute: Sistem üzerinde program çalıştırma hakkı

Erişim Kontrolü Yaklaşımları

Zorunlu Erişim Kontrolü

Kullanıcıların varlıklara erişimi, merkezi bir birim tarafından önceden belirlenmiş kural listesine göre kontrol edilir. Varlıklar sınıflandırılır. Public, Sensitive, Private, Confidential  gibi… Kullanıcılara da hangi sınıf varlığa hangi yetki ile erişecekleri tanımlanır. Buna göre kullanıcıların bir sınıftaki varlığa erişmesi için en az o seviyede erişim yetkisine sahip olması gerekir. Ek olarak “need to know” prensibine göre kullanıcının erişmek isteği varlığa ihtiyacı olması gerekir. Kullanıcının ihtiyacı yoksa erişim yetkisi olsa bile erişimi engellenir. Zorunlu erişim kontrolü, belirlenen kural listesi ve politikaların uygulanması konusunda kullanıcıları zorlar. Hassas bilgiler için çok sıkı kontrol ve denetim imkanı sağlanmış olur.

İsteğe Bağlı Erişim Kontrolü

Kullanıcılar kendilerine verilmiş sınırlar dahilinde diğer kullanıcılara erişim yetkileri verebilirler. Örnek olarak, bir işletim sisteminde kullanıcı, kendisine ait olan klasöre ve kendi oluşturduğu diğer klasör ve dosyalara erişim için diğer kullanıcılara yetki verebilir veya kısıtlama getirebilir. Kullanıcı, organizasyonun güvenlik politikalarını göz ardı etme veya onlarla ters düşme hakkına sahip değildir ama erişim yetkilendirmesinin kullanıcılara bırakılması erişim kontrolü politikalarının uygun şekilde uygulanamamasına neden olabilir. Bu durum güvenlik zafiyeti oluşturabilir. Erişim kontrolünün dağınık bir yapıda gerçekleştirilmesi, merkezi kontrolü imkansız kılmakta, kullanıcılara verilen yetkiler denetlenememektedir. Erişim kontrol listeleri, kimlik tabanlı erişim kontrolleri gibi.

İsteğe Bağlı Olmayan Erişim Kontrolü

İsteğe bağlı erişim kontrolünün aksine sistemdeki varlıklara erişim kurallarını varlık sahibi tanımlamaz. Erişim kurallarını tanımlamak için system yöneticisi gerekir. Kullanıcının rolü veya görevlerine göre erişim yetkisi sağlanır veya kısıtlanır.

Erişim Kontrolü Yaklaşımları Uygulamaları

Rol Tabanlı Erişim Kontrolü

Erişim yetkileri kullanıcılara değil rollere verilir. Böylece yetkiler kullanıcılardan bağımsız hale getirilerek yetki yönetiminde esneklik sağlanır. Roller iş fonksiyonlarına göre belirlenir.

xs-rbac-permissions-overview

RBAC(Role-based Access Control) uygulamasında üç yaklaşım vardır:

Yukarıdan aşağıya yaklaşımında, görev ve sorumluluklardan yola çıkılarak roller oluşturulur. Hangi rolün hangi iş fonksiyonu ile ilişkili olduğu belirlenir ve minimum yetki prensibine göre izinler verilir.

Aşağıdan yukarıya yaklaşımında, kullanıcıların mevcut yetkilerinden yola çıkılarak roller belirlenir. Benzer yetkilere sahip kullanıcılar için roller oluşturulur. Yetkili oldukları sistemlerde kullanıcı yetkileri kaldırılarak, dahil edildikleri role yetki verilir.

Hibrit yaklaşımda, önceki iki yaklaşım birlikte kullanılır. Organizasyondaki görev tanımları tespit edilir. Aynı zamanda kapsam dahilindeki sistemlerden kullanıcı erişim yetkileri alınır ve iş birimlerinden alınan bilgiler doğrultusunda gruplama yapılır. Roller bu bilgilerin senteziyle oluşturulur

Dört farklı RBAC mimarisi vardır:

Non-RBAC: Roller yoktur. Erişim kontrol listeleri(ACL) gibi yöntemlerle kullanıcıların varlıklara erişim izinleri belirlenir.

Limited RBAC: Kullanıcılar tek bir uygulama içerisindeki rollerle eşleştirilir. Sınırlı RBAC sistemindeki kullanıcılar Non-RBAC sistemindeki kaynaklara erişebilir. Roller bir uygulama içinden tanımlanır ve kullanıcının iş fonksiyonu ile ilgili olması gerekmez.

Hybrid RBAC: Bir rol ile birçok uygulamaya erişebileceği gibi kullanıcı, bazı uygulamaların içerisinde tanımlanan rollere de dahil olabilir.

Full RBAC: Bütün erişim kontrolleri, organizasyonun erişim kontrol altyapısı ve politikaları tarafından tanımlanmış roller ile gerçekleştirilir.

Organizasyonel yapısı ve iş fonksiyonları bilinen organizasyonlarda RBAC uygulamak kolaydır. Kullanıcıların organizasyon içerisindeki rol değişikliklerinde erişeceği bilgiler bellidir.

Kural Tabanlı Erişim Kontrolü

Önceden tanımlanmış bir kural listesi(ACL) üzerinden erişim yönetilir. Kurallar, sistem owner tarafından oluşturulur. Belirli bir kuralın şartlarına göre kullanıcılara varlıklar üzerinde okuma, yazma veya yürütme izinleri verilir. Rule based kontroller, isteğe bağlı erişim kontrolleridir. Çünkü kuralları, organizasyon veya sürecin ihtiyaçlarına göre system owner’lar geliştirir. Örnek bir kural:

Mustafa, bütçe raporlarına hafta içi 09:00-17:00 arası erişsin.

Erişim Tokenları

Mantıksal erişim kontrolü için tokenlar asimetrik veya simetrik key tabanlıdır. Asimetrik key modelinde, private key token üzerinde tutulur. Public key ile eşleştirilerek doğrulama sağlanır. Simetrik key, kullanıcı ile paylaşılır ve HTTPS gibi güvenli bir kanal üzerinden doğrulama gerçekleştirilir. Yazılım veya donanım olabilir.

Soft Tokenlar

Soft tokenlar, fiziksel tokenlara göre daha ucuzdur ve yönetimi daha kolaydır. Fiziksel riskleri yoktur. Ancak saklandığı cihazın güvenli olduğu kadar güvenlidir. Software ataklarına açıktır. Soft token uzak bağlantı ile kullanılabilir. Software tokenların güvenliği için aşağıdakilere dikkat edilmelidir:

  • Soft token private key export edilemez olmalıdır.
  • Kriptolanmamış formatta, düz text olarak saklanmamalıdır.
  • Dağıtımda ilk kayıtta şifre zorunlu olmalıdır.
  • Token aktivasyonunda kullanıcı doğrulama her zaman yapılmalıdır.
  • Token oluşturma için iki dakika veya daha az zaman limiti olmalıdır(Synmantec VIP Access gibi).
  • Software token şifresi, karmaşıklık, uzunluk, değiştirme periyodu ve tekrar kullanım durumu gibi şifre oluşturma ilkelerine uygun olmalı(Synmantec VIP Access gibi).
  • Software tokene bütün erişimler denetim altına alınmalıdır.
  • Anti-virüs yazılımları güncel olmalıdır.
  • PKI, key yönetim sistemi kullanılabilir. PKI, bütün kriptografik işlemler için asimetrik veya public/private key çiftleri kullanır. PKI ile kullanıcının private keyini ifşa etmeden kimlik doğrulaması gerçekleştirebilir.
  • Trusted Platform Modules(TPM) kullanılabilir. TPM, kpritolanmış keyler için kriptolama engine’ı ve güvenli depolama sunan bir donanımdır(Elektronik imza tokenları gibi).
  • Self-validation gerçekleştirilebilir. Token paylaşılmadan önce yazılım dosyalarının(dll, ini vs.) hashleri karşılaştırılmalıdır.

Hard Tokenlar

Token giriş verisi, One Time Password cihazlar gibi token authenticatorlar tarafından üretilir. Fiziksel tokenların, kaybolma, zarar görme, çalınma veya kopyalanabilme riski vardır.

Look Up Secret Token

Kullanıcıda şifreleme kartı bulunur. Şifreleme kartından belirtilen karakterlerin girilmesi istenir.

1

Out of Band Token

SMS veya telefon araması ile yapılan doğrulamalar gibi. Birincil kimlik doğrulama kanalından farklı bir kanal üzerinden token alınır.

One Time Password Device

Tek kullanımlık şifre üreten donanımdır. Bir butona basarak veya belirli periyodlarla şifre üretir.

2.png

Cryptographic Device

Private keyleri korumak için kriptografi işlemlerini gerçekleştirme odaklı cihazlardır. PIN veya şifre ile aktivasyon sağlanır. Smart cardlar gibi.

3.png

Biometric Tokenler

Kişinin biyolojik karakteristikleri kimlik olarak kullanılır. Parmak izi, el geometrisi, ses veya iris deseni gibi.

Biometric kimliklerin iki tip hata durumu vardır:

Hatalı Red(False Rejection): Biyolojik kimlik kayıtlı olmasına rağmen reader tanımadığı için doğrulamanın gerçekleşmemesi.

Hatalı Kabul(False Acceptance): Kayıtlı olmayan bir kullanıcının, kayıtlı bir kullanıcı ile karışmasından veya biyolojik kimliğin taklit edilmesinden kaynaklanan yetkisiz kullanıcıların kabul edilmesi.

Token olarak kullanılan biyolojik özellikler:

Fingerprint: Parmek izi kullanılır. Anlaşılması kolaydır. Parmak izi kayıtlı şablonlardan biri ile eşleşir ise kimlik doğrulama gerçekleşir. Parmak yaralandığında veya temiz olmadığında okuyucu parmak izini doğru okuyamayabilir.

Facial Image: Yüz şekli kullanılır. Gözler merkeze alınarak yüz şablonu çıkarılır.

Hand Geometry: El yüksekliği, genişliği, parmaklar arası mesafe, parmakların uzunluğu gibi verilerle elin geometrisi çıkarılır. Parmak izinden daha hızlı bir tanıma sistemidir. Hatalı kabul oranı parmak izine göre daha yüksektir.

Iris Patterns: Iris taraması kullanılır. Çalınma ve kaybolma riskleri yoktur. Yaralanma riski, vücudun diğer bölümlerine göre daha düşüktür. Dezavantajı, bazı insanlar göz taramasını zararlı zannedip, çekinmektedir. Çıktı (throughput) değeri önemlidir. Çıktı değeri normalde 2 saniye olmalıdır. Çok sayıda kişi kısa aralıklarla giriş yapmaya çalışırsa sorun meydana gelir.

Retinal Scanning: Gözün arkasındaki kan damarları katmanı taranır. Tarama 10 saniye kadar sürebilmektedir. Yüksek güvenlikli bir seçenektir.

Signature Dynamics:  İmza tanıma. Kullanıcıya bir pad üzerine el ile imza attırılır. Sonra imza okunur ve kalem baskısı, yazı hızı gibi benzersiz özellikleri kaydedilir. Geleneksel imza gibi çalışır. Kullanıcının herhangi bir bilgisayar bilgisi veya tool bilmesine gerek yok. İmzanın benzersiz özellikleri, taklit imzaların engellenmesi için noterde kayıt altına alınmalı.

Vascular Patterns: Damar desenleri taranır. Kullanıcının el veya parmağındaki damarların resmi çıkarılır. Yaşın değişmesi ile değişmez.

Keystroke Dynamics: Kullanıcının klavyeden tuşlara basma ritimleri kullanılır. Birçok farklı klavyeden, kullanıcının tuşa basma ve parmağını tuştan kaldırma arasındaki toplam zaman, bir tuşa basılı tutma zamanı, tuşa basılmadan boşta durma zamanı ölçülür.

Token Grupları

Kimlik doğrulama tokenları, kullanıcı-token ilişkisine göre üç grupta ele alınabilir:

  • Kullanıcının bildiği bir şey (Something you know, password, PIN gibi)
  • Kullanıcının sahip olduğu bir şey (Something you have, token, smart card gibi)
  • Kullanıcının bir parçası olan bir şey (Something you are, biometric kimlikler)

Tokenların kullanımına göre kimlik doğrulama yaklaşımları single faktör ve multi faktör olarak ikiye ayrılır. Single faktörde üç yaklaşımdan sadece biri kullanılır. Multi faktörde yukarıdaki yaklaşımlardan en az iki tanesi kullanılır. Aynı yaklaşımdaki farklı iki doğrulama yönteminin kullanılması multi faktör olmamaktadır. Password ve PIN birlikte kullanımı multi faktör değildir. Parmak izi ve password birlikte kullanımı ise multi faktör kimlik doğrulamadır.

Erişim Yönetim Sistemlerinde Dikkate Alınacaklar

Erişim yönetim sistemleri uygulanması planlanırken üç konu dikkate alınmalıdır:

  • Erişim kontrol politikaları
  • Mekanizmalar
  • Modeller

Erişim kontrol politikaları, erişimlerin nasıl yönetileceğini, bilgilere kimlerin hangi şartlarda erişeceğini belirleyen yüksek seviye gereksinimlerdir. Örnek olarak, organizasyon birimleri arasında kaynak kullanımına dair politikalar veya need to know, yeterlilik(competence), yetkilendirme(authority), zorunluluk(obligation) veya ilgili faktörlerin çatışması(conflict of interest factors) tabanlı politikalar olabilir.

Erişim kontrol politikalar uygulamak için erişim kontrol listeleri(ACL – Access Control List) gibi bir erişim kontrol mekanizması gereklidir.

Modeller, erişim kontrol politikaları ile erişim kontrol mekanizmaları arasındaki köprüdür. Erişim kontrol sisteminin güvenlik özelliklerini tanımlamak için yazılan güvenlik modelleridir. Sistem tarafından uygulanacak güvenlik politikalarının formal sunumlarıdır. Teorik olarak sistem sınırlarını görmek için kullanışlıdır. Bir dosyayı oluşturan kullanıcı, diğer kullanıcılara erişim izni verebilsin, basit örnek bir güvenlik modelidir.

(CISSP – Identity and Access Management domaini çalışmaları)

Reklamlar