Selamlar,
4. sınıf güz yarı yılı derslerimizden olan Bilgisayar Ağları dersi için senenin başında hepimiz birer ödev konusu seçtik. Ve dönem sonuna kadar istediğimiz zaman sunumunu yapabilecektik. Ben ödev başlıkları içinden güvenli tüneli seçtim.
Bu konuda araştırma yapmaya başladım. Birçok kullanılan güvenli tünel uygulamaları vardı. Bunlardan bazıları uygulama olarak değişiklikler gösteriyordu. Örneğin; SSH örnek olarak verilebilir. SSH ile iş yapmak istediğiniz bir bilgisayara uzaktan bağlantı sağlayabiliyor ve bu safhada yaptığınız tüm veri aktarımını şifreli olarak gerçekleştiriyorsunuz. Bu da günümüzde SSH uygulamasında kullanılan şifreleme algoritmalarının (DES, AES, RSA, DSA gibi) kırılamayacağı inancında olduğumuz için güvenli olarak kabul ediyoruz.
Bende güvenli tünel olarak arada şifreli veri gönderimi yapan bir uygulama yazmaya karar verdim. Aynı zamanda Python dilini kullanacağım için onun ssl kütüphanesini kullanabilirdim[1]. Bu dökümantasyon sayfasını incelemeye başladım. Kullanabileceğim fonksiyonlar olduğunu gördüm. Yapmam gereken bir client bir de server tarafı yazmaktı. Bu tarafları yazarken en başta haberleşmeleri için karşılıklı portları açıp soket oluşturdum. Daha sonra ssl kütüphanesinin bana sağladığı avantajlardan biri olan "ssl.wrap_socket(sock, keyfile=None, certfile=None, server_side=False, cert_reqs=CERT_NONE, ssl_version={see docs}, ca_certs=None, do_handshake_on_connect=True, suppress_ragged_eofs=True, ciphers=None) "
fonksiyonu ile oluşturduğum socketleri birer ssl socket haline getirip socketler arası bağlantı yaptım. Bu kod kısmı server tarafında dinleme şeklinde olamlıydı. Yani server tarafında soket bind işlemi yapılacak ve herhangi bir adresten gelecek bağlantı dinlenecekti. Aşağıda yazdığım kod parçalarına yer vereceğim ve hangi saturda ne oluyor yorum satırı olarak ekleyeceğim.
Kod kısmının anlatımına geçmeden kısaca wrap_socket() fonksiyonun aldığı parametreler ile ilgili bilgi vermek istiyorum.
sock, oluşturduğumuz socket nesnesi,
keyfile, certfile ise daha ileride ayrıntılı bahsedeceğim alınması gereken sertifikayı ve sonrasında kullanabildiğimiz key ve sertifika dosyalarını kastediyor.
server_side parametresi ise boolean olarak yazılan kodun server ya client davranışları gösterip göstermediğini belirtir. Yazdığım server tarafında bu parametreyi True olarak işaretledim.
cert_reqs ise sertifikanın gerekliliğinden bahsedilen kısım, kullanabileceğiniz seçenekler CERT_NONE(sertifika gerekli değil), CERT_OPTIONAL(seçimlik), CERT_REQUIRED(belirtilmesi gerekli) olarak belirlenmiş. Buradan sonraki parametrelere ben None değeri atadım. Kullanmadım.
Güvenli Tünel Uygulamamın client tarafı kodları:
#!/usr/bin/python
# -*- coding: utf-8 -*-
import socket, ssl, pprint
host = '127.0.0.1' // bu kısma kendi ip adresinizi yazacaksınız, ben tek bilgisayarda denediğim için '127.0.0.1'
port = 10023 //port olarak 10023 sectim, iki taraftada aynı port kullanılmalı
addr = (host, port)
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) // soket oluşturuldu
# bu kısımda server tarafından sertifika doğrulama karşılaştırma için sertifika gerekir
ssl_sock = ssl.wrap_socket(s, // soket
ca_certs="/home/ssezgin/sertifikalar/certs/myca.crt", // sertifika otoritesi
cert_reqs = ssl.CERT_REQUIRED, // sertifika gerekli olarak belirlenmiş
ssl_version = ssl.PROTOCOL_TLSv1 ) // kullanılan ssl versiyonu belirtilmiş.
# [2] adresinde sertifika alma işlemlerini sırasıyla ayrıntılı bir şekilde anlattım
ssl_sock.connect(addr) // yeni oluşturulan ssl soket ile bağlantı yapıldı
print repr(ssl_sock.getpeername()) // ssl objesinin fonk. ve soketin özelliklerini gösterir, (ip, port gibi)
print ssl_sock.cipher() // hangi şifreleme formatının kullanıldığını söyler
print("DER-encoded formda:")
print pprint.pformat(ssl_sock.getpeercert(True)) // DER-encoded formda sertifikanın içeriğini gösterir
print("Duz Metin olarak:")
print pprint.pformat(ssl_sock.getpeercert()) // sertifikanın içeriğini gösterir
ssl_sock.write("deneme") // Burada write() fonk ile şifreli gönderim yapılır.
data = ssl_sock.read() // serverdan geri dönen veriler okunur
ssl_sock.close() // artık ssl özelliği olan soket kapatılır.
Server tarafı:
#!/usr/bin/python
# -*- coding: utf-8 -*-
import socket,ssl
bindsocket = socket.socket()
bindsocket.bind(('',10023))
bindsocket.listen(5000)
while True:
newsocket, fromaddr = bindsocket.accept() // client tarafından gelen istek kabul edilir bağlantı sağlanır
print "I got a connection from ", fromaddr
# client tarafı için gerçekleştirdiğimiz ssl soket oluşturma işlemi burada da tekrarlanır, bu aşamada sertifikanın düzgün oluşturulması gerekir, eğer hatalıysa, bağlantı reddi, karşı tarafı tanımama gibi hatalar alınarak bağlantı başlamaz server ve client arasında bu kısım gerçekten sorun oluşturabilecek tek yer
baglanti = ssl.wrap_socket(newsocket,
certfile = "/home/ssezgin/sertifikalar/certs/server.crt",
keyfile = "/home/ssezgin/sertifikalar/private/server-key-cert.pem",
server_side=True,
ssl_version = ssl.PROTOCOL_TLSv1)
data = baglanti.read()
print data
baglanti.shutdown(socket.SHUT_RDWR)
baglanti.close()
ssl versiyonu seçilirken dikkatli olmak gerekir. ssl_version, kullanılan SSL protokolünün versiyonunu belirtir. Tipik olarak server belli bir protokol versiyonunu seçer ve client' ın server' ın seçimine uyum sağlamasını bekler. Yani client/server ssl_version eşleşmelerinde sınırlamalar vardır. Başarılı bağlantı openssl in versiyonuna bağlı olarak da değişiklik gösterebilir. Örneğin; openssl in bazı eski versiyonlarında (0.9.7l)
bir SSLv2 client bir SSLv23 server ile bağlantı kuramaz. Bir başka örnek; openSSL 1.0.0 başlangıcında sen SSLv2 bağlantısını açıkça etkinleştirmedikçe SSLv23 client SSLv2 bağlantısına teşebbüs etmeyecektir. Bu “ALL” “SSLv2” şeklinde belirtilerek sağlanabilir.
Güvenli Tünel için yazdığım kod parçaları bunlar. Ama çalışabilmesi için daha öncede belirttiğim gibi sertifika oluşturma işlemlerinin tamamlanmış, doğrulanmış hatasız çalışıyor olması gerekli. Bu yüzden [2] adresinde ayrıntılı olarak sertifika işlemlerinden bahsettim.
[1]- http://docs.python.org/library/ssl.html
[2]- http://simgesezgin.blogspot.com/2012/01/kendi-sertifika-otoritemizi-nasl.html
16 Ocak 2012 Pazartesi
Kendi Sertifika Otoritemizi Nasıl Yaratırız?
Merhabalar,
Sertifika sahibi olma konusunda birden fazla yöntem mevcut. Bunlardan bir tanesi güvenilir sertifika otoritelerine başvurmak ve bir ücret karşılığı sertifika edinmek, diğeri de OpenSSL komutları sayesinde kendi sertifika otoritemizi yaratıp, bu otorite ile sertifikalar imzalayıp kullanmaktır. Bir web sayfası ile bağlantıya geçildiğinde browser karşı tarafın sertifikasını indirir ve bu şekilde etkileşimi başlatır. Ancak self-signed sertifikaları kullandığımızda, günümüz browserları bunları güvenli olarak görmez ve hata verir. Size bu sertifikaya güvenip güvenmediğinizi sorar ve eğer siz olumlu yanıt verirseniz bu sertifika bilgisayarınıza indirilir ve güvenli olarak işaretlenir. Yani güvenilir sertifika otoriteleri dışında üretilmiş sertifikalar için bu şekilde bir güvenlik adımı vardır. Bu her mesaj kutusuna okumadan evet deyip geçmeyen dikkatli kullanıcılar için işe yarayabilir. Çünkü gerçek olmayan bir tarafın o olduğunu kabul etmiş olma riskiniz vardır. Kimliğinin doğru olduğuna emin olunduğunda izin vermek daha mantıklıdır.
Kendi sertifika otoritemizi yaratırken, imzalama yaparken openssl komutlarından faydalanabiliriz. Bu sertifikalar kişisel kullanım için, intranette login olma, servislerle iletişim aşamasında güvenli ve iyi bir yol sağlar. Çünkü veriler ya da parolalar açık şekilde taşınmaz. Ama yine de güvenilir sertifikalardan değildirler.
Öncelikle bilgisayarınızda openssl paketi kurulu olmalı. Bende kurulu versiyonu;
OpenSSL 1.0.0d 8 Feb 2011 (1.0.0e versiyonu da duyurulmuş)
İlk yapılacaklardan biri yeni bir dizin oluşturmak bunu komut olarak yazıyorum. Bu aşamadan sonra sertifika üretimi aşamalarına geçeceğiz.
# mkdir sertifikalar
# cd sertifikalar
# mkdir certs private crl newcerts
sertifikalar : Bizim sertifika otoritesi dizinimiz
certs: Server sertifikamızın konumlandığı yer
private: Gizli anahtarımızın tutulduğu alt dizindir. Bu dizinin sadece root tarafından okunabilir şekilde izinlerini sınırlandırmak gereklidir. Bir sunucuyla bağlantı kurmadan önce
newcerts: openssl yarattılan .pem formatlı dosyayı buraya koyar ve biçimi cert_serial_number.pem şeklindedir. Bizim sertifika yaratabilmemiz için openssl bu dizine ihtiyaç duyar.
Crl: İptal edilmiş sertifikaların listesi
Şimdi sırada varsayılan openssl konfigürasyon dosyasını kendi sertifikalar dizinimize kopyalama var. Varsayılan openssl.cnf dosyasının bulunduğu dizine girip:
# cp /etc/pki/tls/openssl.cnf ./openssl.my.cnf
Bu dosyanın herkes tarafından okunmasına gerek yok ancak biz değişiklik yapabilmeliyiz.
# chmod 0600 ./openssl.my.cnf
İki dosyaya daha ihtiyacımız var bunlardan biri openssl için database hizmeti verecek:
# touch index.txt
Diğer dosya sertifikaların seri numaralarını tutacak hiç sertifika üretmeyene kadar 01 değerini veriyoruz.
# echo '01' > serial
Birazdan sertifika üretme aşamalarında karşımıza çıkacak dosya uzantılarının anlamlarından da bahsetmek istiyorum:
key : private key
csr : certificate request(Bu sunucu sertifikaları oluşturmak için CA tarafından imzalanmış olacak.)
crt : certificate ( Bu genel ve açık bir şekilde dağıtılabilir)
pem : gizli anahtar ve sunucu sertifikası bir arada olan dosyalar için kullanılan bir uzantıdır. Bu dosyaların izinleri sınırlandırılmalıdır.
crl : Certificate Revokation List (Dağıtımı açıkça olabilir)
Bütün ön düzenlemeler bittikten sonra sertifika otoritemizi (CA) kullanarak
self-signed sertifikamızı oluşturabiliriz.
# cd sertifikalar
Sertifika otoritesi ve özel anahtar üretimi:
# openssl -req -config openssl.my.cnf -new -x509 -extensions v3_ca -keyout private/myca.key -out certs/myca.crt -days 1825
certs/myca.crt: Bu bizim sertifika otoritemizin sertifikası, public, herkes tarafından okunabilir.
private/myca.key: Sertifika otoritemizin private key i. Erişimi sınırlandırılmalı, root sadece okuyabilmeli ve bir parola ile korunmalı.
# chmod 0400 ./private/myca.key
Varsayılan olarak aldığımız openssl.cnf dosyasına bazı dosyalarımızın yolunu göstermemiz ve ayarlamalar yapmamız gereklidir. Bu dizinler:
- dir dizini
- certificate
- private_key
Şimdi de bir server sertifikası nasıl oluşturulur buna bakalım:
openssl.my.cnf dosyamızı da düzenledikten sonra artık sertifika yaratma, imzalama gibi konularda bazı politikaları belirlemiş oluyoruz. Genel amaçlı bir sertifika oluşturacağız, bağlantı sırasında parola sordurmayacağız, yani private key bir parola tarafından korunmayacak dosya erişimini sınırlayacağız.
Sertifika İsteği Üretmek :
# openssl req -config openssl.my.cnf -new -nodes -keyout private/server.key -out server.csr -days 365
-nodes seçeneği parolalı koruma yapılmak istenmediğinde ihtiyaç duyulan bir seçenektir.
server.csr : sertifika isteği
private/server.key : parola korumalı olmayan özel anahtar
Gizli anahtarda izin sınırlamaları. Sadece root ya da kullanıcı okuma iznine sahip olmalı.
# chown root.root ./private/server.key
# chmod 0400 ./private/server.key
Sertifika İsteğini İmzalamak:
# openssl ca -config openssl.my.cnf -policy policy_anything -out certs/server.crt -infiles server.csr
Burada isteğin imzalanması için CA'nın private key ine ihtiyaç duyulur. Openssl.my.cnf dosyasında policy_anything kısmında Country, State, City alanlarının CA sertifikasıyla eşleşme gerekliliği yoktur.
Certs/server.crt : server sertifikası public olması uygundur
newcerts/01.pem : Bu kesinlikle üstteki dosyanın aynısıdır, fakat dosya adı seri numarasıyladır ve ihtiyaç duyulmaz.
Sertifikaları doğrulamak:
# openssl x509 -subject -issuer -enddate -noout -in ./certs/server.crt
ya da
# openssl x509 -in ./certs/server.crt -noout -text
Server yetkilendirme için sertifika gecerliliğinin doğrulanması:
# openssl verify -purpose sslserver -CAfile ./certs/myca.crt ./certs/server.crt
Server Sertifikası ve anahtarı bir dosyada :
# cat certs/server.crt private/server.key > private/server-key-cert.pem
# chown root.root private/server-key-cert.pem
# chmod 0400 private/server-key-cert.pem
Yararlandığım sayfalar:
Kaydol:
Kayıtlar (Atom)