Achmed The Dead Terrorist
3G-Üçüncü Nesil Mobil İletişim Standartı
3G teknolojisi ülkemizde resmen 30 Temmuz 2009 tarihinde hayatımıza girmiştir. 3G teknolojisi yüksek hızda çoklu ortam ve ses iletimine olanak sağlamaktadır. Mesajlaşma, internet erişimi ve yüksek hızda çoklu ortam haberleşme desteği bu teknoloji ile mobil kullanıcılara sunulmuştur. Üçüncü kuşak anlamına gelen 3G; daha önceden kullanılan GPRS ve EDGE teknolojilerine göre çok daha hızlı veri aktarımı sağlanmaktadır. Günümüzde bu hız 384kbps’dir. GPRS ile veri aktarımı sağlanırken mobil cihaz tahsis edilmiş olan boş bir kanal üzerinden haberleşmeyi sağlar. Zaman bölmeli çoklu erişim ( Time Division Multiple Access-TDMA) denen bu teknikle belli sayıdaki kullanıcının tek bir frekans kanalının farklı zaman dilimlerinden (time slot) erişimi sağlayan sayısal iletişim teknolojisidir. İletim sürekli olmadığından dolayı kullanıcı sadece gerektiğinde bu zaman dilimini kullanır. Yani bu teknikte tüm bant genişliği sonlu bir zaman aralığında kullanıcıya verilmiştir.
3G’nin kullandığı erişim tekniği ise bütün kullanıcıların aynı anda ve aynı frekans bandının üzerinden haberleştikleri Kod Bölmeli Çoklu Erişim (Code Division Multiple Access-CDMA) adı verilen tekniğin gelişmiş halidir. Öncelikle CDMA terimini açıklayacak olursak; bu çoğullama biçiminde kaynak ve hedef düğüm aynı radyo frekans kanalından ve zaman diliminde özel bir kodlama yöntemiyle birbirleriyle haberleşirler. Her bir kullanıcıya bilgiyi kodlayabileceği eşsiz bir kod dizisi tahsis edilir. Gönderilen bilginin algılanabilmesi için, alıcının verici tarafından kullanılan kodu bilmesi gerekir. Alıcı, kullanıcının kod dizisini bildiğinden işareti aldıktan sonra kodunu çözer ve orijinal bilgiyi elde eder. CDMA için örnek olarak aynı odada bulunan ve farklı dilde birbirleriyle konuşan insanlar verilebilir. CDM, bir spektrum yayma (spread spectrum) tekniğidir. Bu teknikte; aynı güç üzerinden iletim sağlanabilmesi için data düzgün bir şekilde bant genişliğine yayılır. Yayma kodu sözde rastgele (pseudo-random) olan diğer dar darbe kodlarının aksine dar bir belirsizlik işlevi vardır. Kod Bölmeli Çoklu Erişim’de performans için en önemli şart kullanıcıların sinyallerinin iletişiminin sağlanması için kullanılan kodun birbirlerinden olabildiğince farklı ve eşsiz olmasıdır. Yani kullanılan kod ne kadar iyiyse sistemin performansı o kadar yüksek olur. Bu yöntem ile çoklu yol (multipath), çoklu kullanıcı ve gecikme yayılımından dolayı oluşan girişimler engellenir. Sistem kapasitesi, kullanılan kod ne kadar fazla ise o kadar büyük olabilir. Bu kapasite teorik olarak sınırsızdır; fakat, aynı frekans bandını kullanan kullanıcı sayısı arttıkça gürültü artar ve kalite de gittikçe düşer.
Code Division Multiple Access -CDMA (Kod Bölmeli Çoklu Erişim) genellikle kablonun erişemediği veya kablonun erişmesi için yüksek maliyet gerektiren yerlerde kullanılır. 3G teknolojilerinin ilki Universal Mobile Telecommunication Systems- UMTS (Evrensel Mobil İletişim Sistemi), Global System for Mobile Communication-GSM (Mobil İletişim İçin Küresel Sistem) sistemleri yeni nesli olarak kullanılmaktadır. Ancak radyo erişim (radio access) tekniği olarak Wideband Code Division Multiple Access-WCDMA (Geniş bant Kod Bölmeli Çoklu Erişim) kullanır. WCDMA teknolojisi, mobil şebekelerde daha hızlı veri bağlantısı sağlar. WCDMA’in geniş bant özelliği sayesinde herhangi bir zamanda daha fazla veri taşınabilir. Şu anda 384 kbps’ye kadar. WCDMA teknolojisinin gelecek kuşaklarında, bu oran 10 Mbps’ye kadar artabileceği düşünülmektedir. 3G teknolojilerinin ikincisi WCDMA’ya rakip olarak gösterilen ve CDMA2000 olarak adlandırılan Multi Carrier Code Division Multiple Access- MC-CDMA (Çok Taşıyıcılı Kod Bölmeli Çoklu Erişim) teknolojisidir. 3G ile birlikte veri iletim hızının artması gerektiğinden yönlendirmede de yenilikler olmuştur. MPLS (Multi Protocol Label Switching) ve ATM (Asynchronous Transfer Mode) kullanılmaya başlanmıştır. Bu konular ile alakalı daha önceden diğer arkadaşlarımın yazmış olduğu yazılardan daha detaylı bilgi alabilirsiniz.
Ağ Güvenliğinde AAA Konsepti
Authentication (doğrulama), Authorization (yetkilendirme) ve Accounting (aktivite izlenmesi) kısaca AAA olarak bilinen ve ağ kaynaklarına güvenli erişimi sağlayan güvenlik unsurlarıdır. AAA servislerine ulaşabilmek için iki tip erişim metodu vardır:
- Karakter modu: Yönlendiriciye, yönetim amaçlı gönderilen isteklerdir.
- Paket modu: Başka bir ağda bulunan cihaza erişim için gönderilen isteklerdir.
AAA güvenlik unsurlarına bankaların uyguladığı kredi kartı sistemi de örnek olarak verilebilir. Bankanın kullanıcıya vermiş olduğu kartın üzerindeki kart numarası, ad, soyad ve son kullanma tarihi bilgileriyle doğrulama işlemi gerçekleştirilir. O kullanıcıya verilmiş olan harcama limiti ile yetkilendirme işlemi yapılır. Nerde, ne zaman, ne kadar harcama yaptığını kayıt altına alınması ve sonucunda bir ekstre oluşturulması ile de kullanıcı aktivitelerinin izlenmesi işlemi yapılır.
Authentication (Doğrulama):
Kullanıcının sisteme bağlanabilmesi için ilk başta yapılması gereken işleme authentication (doğrulama) denir. Ana bilgisayar, anahtarlayıcı veya yönlendirici kullanımı sırasında cihaz veya kullanıcının kimliğinin doğrulanma işlemidir. Bu işlem ile kullanıcının sahip olduğu kullanıcı adının sistemde kayıtlı olup olmadığı kontrol edilir. Daha sonra kullanıcıya verilen parola da kontrol edilerek doğrulama işlemi yapılır. Doğrulama sağlanırsa kullanıcıya sisteme giriş izni verilir. Sistem üzerinde açık bulunan her port ve servis göz önünde buludurularak sisteme anonim erişim verilebilir. Şifrelerin gerektiği kadar güvenli olabilmesi de uygulanmakta olan şifre politikasına bağlıdır.
Doğrulama işlemi iki şekilde yapılır:
- Yerel AAA Doğrulaması: Yönlendiricinin kendi veritabanınında bulunan kullanıcı adı ve şifreleriyle yapılır. Genellikle küçük ağlarda uygulanır.
- Sunucu-Tabanlı AAA Doğrulaması: Eğer ağda bulunan yönlendiricinin miktarı fazla ise sunucu-tabanlı AAA doğrulaması uygulanır. Sistemde kullanılan kullanıcı ad ve şifreler bu sunucuda saklanır ve doğrulama işlemi sunucuda yapılır.
Authorization (Yetkilendirme)
Kullanıcı adı ve şifre doğrulaması sağlanan kullanıcıların sisteme, programa veya ağa hangi yetkilerle erişime sahip olduklarını belirten sisteme authorization (yetkilendirme) denir. Sisteme kayıtlı olan kullanıcılar gruplanarak, bu gruplara çeşitli yetkiler verilir. Kullanıcı içerisinde bulunduğu grubun bütün yetkilerine sahiptir. Eğer bir kullanıcı birden fazla gruba üye ise bu gruplara verilen yetkilerin hepsine sahiptir. Güvenliğin tam olarak sağlanabilmesi için kullanıcılara gerekenden fazla yetki verilmemelidir. Yetkiler verilirken sistem üzerindeki açık her bağlantı noktası (port) göz önünde bulundurulmalıdır.
Accounting (Aktivite İzlenmesi)
Bir sorun ile karşılaşıldığında sorunun tespitinin sağlanabilmesi için kullanılan sistemeaccounting (aktivite izlenmesi)denir. Sistemde bulunan kullanıcıların yaptıkları bütün işlemler ve erişim saatleri kayıt altına alınır. Bir problem çıktığında ise kullanıcı aktivitelerinin tutulduğu bu kayıtlardan sorun anlaşılmaya ve çözülmeye çalışılır.
RADIUS
RADIUS, Remote Authentication Dial In User Service (Uzaktan Aramalı Kullanıcı Kimlik Kanıtlama Servisi) uzaktan ağa erişmek isteyen kullanıcıların kimlik denetimini gerçekleştirmek üzere IETF (Internet Engineering Task Force) tarafından standartlaştırılan bir protokoldür. İlk başta internet servis sağlayıcıları, ağını kullanmak isteyen kullanıcıların kullanıcı adı ve parola doğrulamasının sağlanması için kullanılmıştır. RADIUS iletim için UDP (User Datagram Protocol) kullanır. Bu protokol internet erişimi ve elektronik posta servisi erişimi yanında RAS (Remote Access Server) ve VPN (Virtual Private Network) gibi sistemlerde sıklıkla kullanılır. Bu protokol ile kaynaklara güvenli erişim için gereken güvenlik unsurları yani doğrulama, yetkilendirme ve kullanıcı aktivitelerinin izlenmesi sağlanır. Bir istemci ağa erişmek istediğinde sunucu üzerinden ağa erişmek için RADIUS sunucusuna istek gönderir. RADIUS sunucusu 3 farklı biçimde bu isteğe cevap verebilir:
- Access Reject (Erişim reddi): Kullanıcı doğrulama işlemi gerçekleştirilemez ve RADIUS sunucusu, kullanıcıya ağ kaynaklarına erişemeyeceği konusunda bu cevabı gönderir.
- Access Challange (Erişim Kimlik Sorgusu): RADIUS sunucusu kullanıcıya ağa erişebilmesi için ikinci bir şifre isteyen bir cevap gönderir.
- Access Accept (Erişim Kabulü): Kullanıcıların bilgileri doğrulanır ve RADIUS sunucusu kullanıcının ağa erişimine izin verir.
Bu protokolün örneklerinden biri de FreeRADIUS adına sahip açık kaynak kodlu ve günümüzde bütün kimlik yetkilendirme protokolleri ve veritabanlarını destekleyen bir yazılımdır. Bu yazılım ile yapılabilecek işlemler:
- Ağa erişmek isteyen kişiler için doğrulama işlemi yapılır.
- Ağa erişebilen bütün kullanıcılar için ayrı ayrı yetkilendirme yapılabileceği gibi kullanıcılar gruplanıp, gruplara yetkiler verilebilir.
- Sisteme o an içinde bağlı olan kullanıcılar gözlemlenebilir.
- Proxy kullanımını destekler.
Categories: Network
Tags: aaa, ağ güvenliği, authentication, authorization, doğrulama, yetkilendirme
Comments: No Comments.