Bir kurumda çalışıyorsunuz ve şirket içi faaliyet/süreçlerinizi yürütmek için iş bilgisayarınızı kullanıyorsunuz. Ama o da ne? Yapmak istediğiniz neredeyse her işlem için bir sorguya tabi tutuluyorsunuz. Üstüne üstlük gerçekleştireceğiniz her işlemin sorumlu görevlisi ile görüşüp izin almanız gerekiyor. Ne kadar da can sıkıcı bir süreç değil mi? Ancak endişelenmeyin. Böyle bir durum pratikte mümkün değil(öyle ümit ediyorum :)). Bunu otomatize eden bir protokol ve hatta bu protokolün güvenli sürümü de var.
Bahsettiğim protokoller, başlıktan anlaşılacağı üzere LDAP ve LDAPS. Her ikisinin de detaylarına ve özelliklerine değineceğim. Hadi gelin basamakları adım adım çıkalım ve ‘LDAP nedir’ sorusunun yanıtı ile başlayalım.
LDAP Nedir?
Türkçe karşılığı ile hafif dizin erişim protokolü anlamına gelmektedir. Peki, neden bu ismi taşıyor dersiniz? Aslında bu protokol, dizinlerin çalışma mantığına dair bir fikir yürütemez ve bilemez. Aslolan görevi, kullanıcıların ihtiyaç duyduğu bilgileri hızlı bir şekilde onlara sunmakla yükümlüdür.
Öyle ki, kurum ve kuruluşlar bünyesinde e posta hesaplarını, yazıcı bağlantılarını, kullanıcı adları, parolalarını ve daha birçok bilgiyi barındırmaktadır. Bunların her birinin dizin içeriğinde olduğunu unutmamak gerek. Tam da bu noktada LDAP, bu verilere erişimi sağlamak ve korumak için kullanılmaktadır.
Burada sizlere hap bir bilgi de vermek istiyorum. LDAP, Microsoft Active Directory’nin eş anlamlısı olarak da bilinmektedir. Active Directory işlevlerinin birçoğu LDAP üzerine kuruludur. Bununla birlikte ikisi birebir aynı görev ve özelliklere sahip değildir.
LDAP’ın Özellikleri Nelerdir?
Bu protokolün ne olduğunu kavradıktan sonra bir de işlevlerinin detaylarına değinelim, ne dersiniz? (Artık) Biliyorsunuz ki LDAP, dizinlerle etkileşimde standart bir yol sağlamak amacıyla oluşturulmuştur. Buna istinaden bilgiyi düzenleme ve geri alma süreçlerini kolaylaştırmaktadır. Genellikle açık metin(plaintext) üzerinden iletişimi sağlamaktadır. Hemen burada size bir soru istiyorum. Açık metin halinde iletişim sunan bir protokolün sağladığı güvenliği 1-10 arasında kaç puan eder? Bu sorunun yanıtını şu an verdiyseniz dahi yazımın devamında artı veya eksi yönlü değiştireceğinizi düşünüyorum. Şimdi, hadi gelin birlikte LDAP’ın temel 3 fonksiyonunu inceleyelim.
1- Hiyerarşik Dizin Yapısı
Ağaç(tree) yapısını daha öncesinde duymuş muydunuz? Duymadıysanız, gözünüzde bir ağaç canlandırın. Zihninizde canlanan obje en genel tanımıyla, kök ve dallardan oluşuyor, değil mi? Kök, ana dizin ve dallar ise alt dizinlerdir. LDAP da, bilgiyi hiyerarşik bir dizin formatında düzenlemektedir. Bu sayede cihazlar, kullanıcılar ve kaynaklarla ilgili verilerin depolanıp alınması için etkili bir yapı sunmaktadır.
2- Arama ve Sorgu Yetenekleri
LDAP’ın sunduğu hızlı arama ve sorgu yetkinlikleri sayesinde istenilen dizinden belirli bilgiler etkili bir şekilde taranarak alınmaktadır. Bu durum özellikle kimlik ve doğrulama keza yetkilendirme süreçleri için önem arz etmektedir. Neden mi? Hemen bir sonraki temel fonksiyonu inceleyelim.
3- Kimlik Doğrulama ve Yetkilendirme
Düşünün, aynı isim ve soy isme sahip 2 farklı departmanda 2 ayrı kullanıcı var. Bunlardan biri Pazarlama Müdürü, diğeri ise lojistik süreçlerini yürüten depolama memuru. Depolama memurunun bilgisayarını açtığında aldığı yetkilerin, Pazarlama Müdürü’nün yetkileri olursa, ne olur? Bunun için birçok senaryo ortaya koyabiliriz ancak sonuç olarak, karmaşa ve hüsran atmosfere hakim olacaktır. Bu anlamda LDAP’ın kimlik doğrulama ve yetkilendirme özelliklerini göz ardı etmemek gerek.
Hadi, gelin bir de birlikte kimlik doğrulama senaryosu yapalım, ne dersiniz? Böylece zihnimizde LDAP’ın çalışma süreçlerini daha iyi betimleyebiliriz.
Senaryo:
- Adım – Kullanıcı Kimlik Doğrulama İsteği: Kullanıcı, dogukan.karadag@orneksirket(.)com mail adresine erişmek için istek gönderir.
- Adım – LDAP Sorgusu: LDAP, ilgili dizinde dogukan.karadag@orneksirket(.)com girişini bulmak ve kimlik bilgilerini depolanan bilgilerle kontrol etmek için bir sorgu gerçekleştirir.
- Adım – Kimlik Doğrulama Yanıtı: LDAP, sorgu sonuçlarına dayanarak, sunucu uygulamaya yanıt verir ve kullanıcı kimlik doğrulamasının doğru olup olmadığını gönderir.
LDAP’ı tanıdığımıza göre hadi bir de LDAPS’i keşfedelim. Eminim “S” takısı almış hali, size kendisini daha çok sevdirecektir(siber güvenliğe merakı olanların yüzünde bir tebessüm…).
LDAPS Nedir?
Türkçe karşılığı ile Güvenli LDAP şeklindedir. Aslında LDAP’ın sonundaki “s” harfi(secure’nin baş harfi) bu tanımı nitelendirmektedir. LDAPS, LDAP üzerine ek bir güvenlik katmanı eklemektedir. ‘Nedir bu ek güvenlik katmanı’ dediğinizi duyar gibiyim. SSL/TLS protokollerini kullanarak LDAP istemcileri ile sunucular arasında değiştirilen verilerin gizliliğini ve bütünlüğünü sağlayan katmandır.
Peki, LDAP güvensiz bir protokol mü? LDAPS ile kıyaslanınca daha az güvenilir olduğunu söyleyebiliriz. Ancak yine de doğru ve olumlu konfigürasyonlarla kullanılabilmektedir. Ancak günümüz siber dünyasında, her geçen dakika riskler arttığından en doğru çözüm, en güvenilir çözüm olmalıdır. İkisinin arasındaki betimlemeyi şu şekilde yapalım. Evinizin kapısında yalnızca bir adet kilit bulunmakta. Siz güvenliğinizi arttırmak için kapınıza ikinci bir kilit ve hatta bir de sürgü korumalı mekanizma yaptırıyorsunuz. Finalde bu uygulamanız daha iyi ve daha güvenilir olmaz mı?
LDAPS’nin Özellikleri Nelerdir?
Bir veya daha fazla kişinin arkadaşınız veya başka biriyle yaptığınız özel konuşmaları dinlemesini ister miydiniz? Tabii ki hayır. Peki, herkesin Türkçe konuştuğu bir ortamda, siz ve arkadaşınızın hiç bilinmedik bir dilde konuşuyorsanız? Kimsenin sizin konuştuğunuz dili bilmediği bir ortamda, rahatsızlık duymanızı gerektirecek bir mesele de söz konusu olmazdı. Bu örnekleri neden verdiğimi, ilerleyen satırlarda daha iyi anlayacak ve bu konularla zihninizde eşleştirebileceksiniz. Öyleyse hadi gelin LDAPS’nin sunduğu 3 temel fonksiyonu inceleyelim.
1- İletişimin Şifrelenmesi
LDAP istemciler ve sunucular arasında iletilen verileri şifreleyerek dinleme ve izinsiz erişime karşı koruma sağlamaktadır. Bu sayede olası bir araya giren kötü niyetli kişi(ler), verileri ele geçiremeyecek veya anomali loglarla karşılaşacaktır. Eğer LDAP kullanıyorsanız, araya giren bir siber suçlu, verilerinizi düz metin halinde okuyabilecek ve veri hırsızlığı yapmak için ekstra bir efor sarf etmeyecektir.
2- Güvenli Bağlama İşlemi
Tıpkı iletişimin şifrelemesinde olduğu gibi kimlik doğrulama süreçlerini de şifreleyerek kullanıcıların kimlik bilgilerinin ele geçirilmesinin önüne geçilir.
3- SSL/TLS Protokolleri ile Entegrasyon
Şu an da bu içeriğimi ziyaret ettiğiniz blog sitem dogukankaradag(.)com SSL sertifikası ile güvenli bir hizmet sunmaktadır. Dolayısıyla tıpkı instagram, X, LinkedIn gibi platformları gönül rahatlığıyla ziyaret ettiğiniz gibi burayı da aynı ferahlıkla kullanabilirsiniz. Peki, SSL sertifikam(https) olmasaydı? O zaman sizin çerez verilerinizden IP bilginize kadar tamamen açık bir şekilde sitemin sunucu arasında haberleşecektiniz. Dolayısıyla siteye yapılan bir atak veya wireshark yordamıyla ağ trafiğinin izlenmesi sonucunda tüm bilgileriniz apaçık ortada olacaktı.
SSL/TLS koruması ile tüm bu kötü senaryoların önüne geçilir ve güvenli bir katman ortaya konulur. LDAPS’de de durum benzer şekildedir. SSL/TLS entegrasyonu sağlanabildiğinden güçlü bir güvenlik katmanı eklenmektedir.
Tıpkı LDAP senaryosunda olduğu gibi bir de LDAPS tarafında güvenli kimlik doğrulamaya dair senaryomuzu inceleyelim.
Senaryo:
- Adım – Kullanıcı Kimlik Doğrulama İsteği: Kullanıcı, dogukankaradag(.)com mail adresine erişmek için kimlik doğrulama isteği gönderir. Bu istek LDAPS protokolünü kullanarak LDAP sunucusuna gitmektedir.
- Adım – LDAPS Şifreleme: LDAPS ile kimlik doğrulama süreci şifrelenmektedir. Dolayısıyla kimlik bilgilerinin(kullanıcı adı-parola) güvenle iletilmesi sağlanmaktadır.
- Adım – Güvenli Kimlik Doğrulama Yanıtı: Şifreli kimlik doğrulamasına istinaden, LDAP sunucusu güvenli bir yanıt verir ve kullanıcı kimlik doğrulamasının başarılı olup olmadığını belirtir.
Tüm bu keşfettiklerinizden sonra çalıştığınız kurumda LDAP’ı mı yoksa LDAPS’nin mi olmasını tercih ederdiniz? Eğer sistem departmanında çalışıyorsanız veya bu alanda kariyerinizi ilerletmek istiyorsanız (bence) birincil tercihiniz LDAPS’den yana olmalıdır. Görüş, fikir ve önerilerinizi aşağıdaki yorumlar kısmından belirtebilirsiniz. Sağlıkla ve güvenle kalın.