İşletim Sistemleri

deathbed

Geçerli bir sertifika otoritesine [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] adresinden ulaşabilirsiniz. Bu adreste 40 bit ve 128 bit şifrelemeler için sertifika alabilirsiniz

Unix tabanlı işletim sistemlerinde ise bu işlem biraz daha karışık. Unix tabanlı sistemlerde; Apache SSL, Open SSL, mod_ssl adlı üç programı çekip bunları kurmanız gerekmektedir. Bu üç programı kısa bir şekilde açılamak istersek Apache bir Web sunucusu, Open SSL bu sunucu için bir kütüphane, mod_ssl ise Open SSL kütüphanesini kullanarak Apache sunucusuna SSL desteği sağlayan uygulama. Apache SSL’i [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] adresinden, Open SSL’i [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] adresinden, mod_ssl’i [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] adresinden indirip sorularınıza yanıt alabilirsiniz.
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]

Apache’nin bazı özellikleri:

*Ticari ve ticari olmayan kuruluşlar için serbesttir.
*128 bit şifreleme desteği verir.
*İstemci doğrulaması sağlar.
*Tam kaynak kodlarını bulabilirsiniz.

Mod_ssl

Bu modül Apache (v1.3) ile birlikte SSL ve Transport Layer Security (TLS v1) protokolleri ile birlikte mükemmel bir şifreleme yeteneğine sahiptir. 1998 yılının Nisan’ında Rauf Engelschall tarafından oluşturulmuş olan bu paket BSD lisansı ile dağıtılmaktadır ve ücretsiz olarak ticari ve ticari olmayan uygulamalarda lisans şartlarına bağlı kalınarak kullanılabilir. Bazı ülkelerde apache + mod_ssl + Openssl paketlerini bir arada kullanmak belli şartlara dayalıdır. Mesela Amerika’da bazı eyaletlerde bu 3 paketi birlikte ticari amaçla kullanmak yasaklanmıştır. Çünkü OpenSSL’in kullandığı RC4 algoritması patentlidir ve bu yüzden ticari olmayan yerlerde kullanılabilir. Ve yine Fransa’da 40 bit’ten fazla şifreleme yöntemine izin verilmemektedir.

Modül Yapısı

Mod_ssl paketi SSL modülü içerir ve Apache için birkaç kaynak dosya olarak Extended API (EAPI) ekler ve bu mod_ssl’i kullanmak için gereklidir.

Şifreleme Algoritmalarını 2 grupta toplayabiliriz:

• Konvansiyel Şifreleme (Convential Cryptography): Bu şifreleme simetrik şifreleme olarak da bilinir. Burada gönderen ve alan, bir paylaşımlı anahtar kullanır ve bu anahtar şifreyi açar veya kapatır. Eğer bu anahtar gizli ise, alıcı ve gönderenden başka kimse okuyamaz.
• Publik Şifreleme: Asimetrik şifreleme olarak da bilinir. Burada 2 anahtar mevcuttur. Bunlardan biri publiktir. Ama alıcı bunu sadece özel anahtar (private key) ile açabilir.

SSL, bir el sıkışma ortamıyla sunucu ve istemci arasında kurulur. Bu köprü işi sunucudan sunucuya farklılık gösterebilir. Kısaca iletişim yukarıdaki sırada gerçekleşmektedir.

SSL Konfigürasyon

HTTP ile HTTPS farklı port’ları kullanarak çalışır. Bu yüzden bir çakışma meydana gelmez. Mesela default değerler olarak HTTP 80, HTTPS ise 443 no’lu port’ları kullanır.

HTTP’nin ve HTTPS’in düzgün çalışıp çalışmadığını manuel olarak da kontrol edebilirsiniz. HTTP için kolayca;

$telnet localhost 80
GET /HTTP /1.0

Elde edersiniz. Fakat HTTPS, 2 katman arasında olduğu için kontrolü OpenSSL ile yapabilirsiniz. Bunun için;

$ openssl s_client -connect localhost:443 -state -debug
GET / HTTP/1.0

yeterlidir.

Adım Adım SSL Kurulumu

1. Apache, mod_ssl ve OpenSSL’in yayınladığı dosyalar aşağıdaki adreslerden alınıp, açılır.

$ lynx ftp://ftp.apache.org/dist/apache_1.3.12.tar.gz
$ lynx ftp://ftp.modssl.org/source/mod_ssl-2.6.4-1.3.12.tar.gz
$ lynx ftp://ftp.openssl.org/source/openssl-0.9.5a.tar.gz
$ gzip -d -c apache_1.3.12.tar.gz | tar xvf -
$ gzip -d -c mod_ssl-2.6.4-1.3.12.tar.gz | tar xvf -
$ gzip -d -c openssl-0.9.5a.tar.gz | tar xvf –

2. OpenSSL’i açmak

$ cd openssl-0.9.5a
$ ./config
$ make
$ cd ..

3. Apache’yi açmak ve yüklemek

$ cd mod_ssl-2.6.4-1.3.12
$ ./configure --with-apache=../apache_1.3.12 --with-ssl=../openssl-0.9.5a --prefix=/usr/local/apache
$ cd ..
$ cd apache_1.3.12
$ make
$ make certificate
$ make install

4. Yüklemeyi bitirdikten sonra dosya temizliği

$ rm -rf apache_1.3.12
$ rm -rf mod_ssl-2.6.4-1.3.12
$ rm -rf openssl-0.9.5a

5. SSL-Apache’yi çalıştırmak ve denemek
(Lütfen yukarıdaki lisans adımında Web sitenizin tam domain ismini “local-host-name” yerine yazın.)

$ /usr/local/apache/bin/httpd -DSSL
$ netscape [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]

Güvenlik Uyarısı
Yukarıda size SSL Apachenin kolay bir kurulumu adım adım örnek olması açısından yazılmıştır. Fakat bu, güvende olduğunuz anlamına gelmez. Gerçek güvenlik, Apache’nizi güvenli bir şekilde konfigüre etmenizden ve özellikle matematiksel algoritmaların ve SSL’in arkasındaki güvenlikten geçer.

SWAT ve SSL
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]

Bilindiği gibi SWAT ile Web ortamından Samba kontrolü rahatlıkla yapılabilmektedir. Peki bunun güvenliği neyle sağlanacaktır? Tabi ki yine SSL ile sağlanacaktır. Aşağıda SWAT’in SSL ile bağlanabilmesi için yapılması gerekenler anlatılmıştır.

* ssleay-0.9.0b dosyası /usr/ssl altına kurulur.
* Ondan sonra aşağıdaki komut ile özel anahtar (private key) oluşturulur.
% /usr/ssl/bin/ssleay genrsa -rand .rnd > key.pem
* Sertifika oluşturulur.
/usr/ssl/bin/ssleay req -new -x509 -nodes -key key.pem -out dummy.pem
* Ondan sonra sertifika hazırlanması aşamasına geçilir.
% echo "" > dummy.txt
% cat key.pem dummy.txt dummy.pem dummy.txt > ca.pem
* Inetd içerisinden swat-entry silinir.
* Ve ardından stunnel başlatılır.
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]
% stunnel -p ca.pem -d 901 -l /usr/local/samba/bin/swat swat

Bu aşamalardan sonra [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] ile SWAT kullanımına güvenli bir şekilde girilir.
Eğer SWAT’i normal bir şekilde kullanmak isterseniz yapmanız gerekenler;
Swat dosyası kurulur. Ardından /etc/services içine,
Swat 901/TCP satırı eklenir. Ardından /etc/inetd.conf dosyasına,
swat stream tcp nowait.400 root /usr/sbin/swat swat
satırı eklenir. Ardından /etc/rc.d/init.d/inet restart ile swat kullanmaya başlanır.
Samba’nın SSL ile Konfigürasyonu
Samba’da SSL bağlantısını sağlamak için 2 program elde edilmelidir. Bunlar;
SSLeay ve SSL Proxy
SSLeay, Eric Young tarafından UNIX program kütüphanesi için geliştirilmiştir. SSL Proxy ise UNIX ve Windows NT makineleri arasında kullanılan güvenlik uygulamasıdır.

Paket Kurulumları

SSLeay için şu an SSLeay-0.9.0b paketi mevcuttur. Bu paket indirilip tar ile açılır. Samba’yı SSL kullanarak konfigüre etmek için;

./configure –with-ssl
#make clean
#make all
Bundan sonra sertifika hazırlama işlemleri vardır. Bu ayarlar SWAT için yapılanlara benzemektedir.
Samba Dosyası Konfigürasyonu
Smb.conf dosyası içerisinde ssl destekler hale getirmek için yapılacaklar:
[global]
ssl=yes
ssl server cert = /etc/certificates/cacert.pem
ssl server key = /etc/certificates/private/cakey.pem
ssl CA certDir = /etc/certificates

Bu aşamadan sonra deamonlar tekrardan başlatılmalıdır.
#nmbd –D
#smbd –D
Enter PEM pass phrase:
Buraya girilecek olan şifre sertifika otorizasyonu içindir.

NT DE SSL Ayarları
Windows NT için gerekli olan ayarlamalar anlatılacaktır. Bunun için gerekli olan dosyalar:
* Cygwinb19.dll
* README.TXT
* Ssslproxy.exe
* DummyCert.pem

C:\sslproxy –1 139 –R atlas –r 139 –n –c sertifika.pem –k ozel.key
ile SSL 139. port’u dinlemeye başlayacaktır.

Artık sizinde bir SSL destekli Web sunucunuz oldu. İstemcilerinizle sunucunuz gönül rahatlığı içinde Internet üzerinden güvenli bir şekilde, üçüncü bir istemcinin veya sunucunun anlamayacağı bir şekilde konuşabilirler. Sağladığınız bu güvenlik için ise hiçbir ücret ödemiyorsunuz.
Bütün bu işlemleri sadece Internet üzerinden güvenli bir şekilde konuşmak için yapıyorsunuz. Bu yaptıklarınız size çok mu geldi, o zaman olaya bir de şu açıdan bakın; eğer Internet’te ki konuşmalarınızı herkes rahatlıkla dinleyebilseydi hayatınızda mahrem diye bir nokta kalmayabilir, bütün bir sene çalışıp kazandığınız parayı başka bir şahıs sadece kredi kart numaranızı öğrenerek birkaç saat içinde harcayabilir, hatta sizi dünyaya geldiğiniz gün üzerinizdekilerle ortada bırakabilirdi. Bir sanatçının koruması, bankanın güvenlik görevlileri, can güvenliğimizi sağlayan polisler ne kadar hayati ise bu şifreleme yöntemleri ve protokollerde en az onlar kadar önemli. Bir başka açıdan, korumalar dışarıdan saldırıları önlemek için eğitim alırlar, onlar olmasa bile kişi kendini bir ölçüde koruyabilir ama düşünün siz, kendi korumanız olmadan sanal alemde alışveriş yapıyorsunuz kredi kart numaranızı ve dolayısıyla sizi kim koruyacak. Hayatımızı kolaylaştırmak biraz daha neşeli hale getirmek için kullandığımız Internet’i kendi ellerimizle hayatımızın karabasanı yapabiliriz.