1. Ana Sayfa
  2. Password Manager
  3. Ayrıcalıklı Hesapların Yönetim Çözümü: Cyberark

Ayrıcalıklı Hesapların Yönetim Çözümü: Cyberark

featured

Merhabalar;

Bilişim Platformu üzerinde ilk makalemde sizlere son zamanlarda artan siber saldıralara karşı kurumları daha güvenli hale getirmeye yarayan CyberArk yazılımı anlatmaya çalışacağım.

Kurumların yönetilmez hale gelen Ayrıcalıklı hesapları,Servis hesapları ,Uygulamalara gömülü hesapları , parolaların keşfi, güvenliği, yönetilmesi bu hesaplar ile yapılan erişimlerin “Video” ve “Txt” olarak kaydedilmesini sağlayan güvenlik teknolojisi firmasıdır.

Cyberark’ı benzerlerinden ayıran en önemli özelliği yönetiği hesapların parolarının , kaydettiği sessionları  “VAULT” diye adlandırılan bir kasada tutmasıdır.Bu sunucu network ortamın’dan tamamıyla izole edilmiş ,üzerinde Third Party(Framework 3.5 haricin’de ) hiçbir  uygulamayı kurmasına izin verilmeyen üreticinin fiziksel olarak’da kurulmasını tavsiye ettiği ,ayrıca sanal Windows Server 2012 R2 Windows Server 2016  üzerine kurulabilen,  kurulumu bittiğinde tamamıyla harding(1) olan bir sunucudur.

Cyberark’da account denildiği zaman akılla kasa, platform, username ve password gelmelidir.Platform bağlantı sağlayacağım hedef demektir.Her platform’un sahibi olduğu bir Policy’si vardır.Bu policy düzenlenebilir.

Kurulum sırasında componetlerin kurulum sırası çok önemlidir.

Enterprise Password Vault

İçerisinde Kasaların (Safe) olduğu ,kimin ne zaman hangi şifre ile eriştiği ,güncel ya da daha eski şifrelerin olduğu ,video kayıtlarının tutulduğu sadece yetkili olan kişilerin erişebildiği ve diğer kasaları (Safe) göre bildiği bir sunucudur. Internet Protocol Version V4 ve Internet Protocol Version  V6 dışında,hepsinin kaldırldığı v4 olarak  sadece Ip,Subnet,Gateway olduğu ,Data Execution Prevention (DEP) kapatıldığı ,üzerinden Framework 3.5 haricinde third part ajan vb olmadığı Windows Server 2012 R2 ya da 2016 olduğu bir sunucudur

Password Vault Web Access

Kullanıcılarına web arayüzü sağlayan bir sunucudur. Kullanıcılar HTTPS ile Password Vault Web Access’e erişim sağlar.PVWA ile Vault Server TCP 1858 portu üzerinden konuşur.Son kullanıcının erişimi için https://PasswordVaultServer/PasswordVault/v10  yazılması gerekmektedir.Sondaki   “V10” yeni web arayüzünün açılmasını sağlar.Birden fazla lokasyona kurulumu yapılabilir ancak ikinci bir kurulum’da PVConfiguration.template dosyasın’da “GWUsername” ve “ApplicationUsername” değiştirilmek zorunda’dır aksi takdirde iki farklı sunucudan PVWA erişimi mümkün olmayacaktır.Bir veya birden fazla Domain Controller eklenebilir iken desteklediği diğer Authentication Methodları  ;

  1. Cyberark (Password)
  2. Windows
  3. Radius
  4. PKI
  5. RSA SecuID
  6. LDAP/LDAPS
  7. OracleSSO

Bunlara ek olarak bir kullanıcı Mobile olarak PVWA sunucusuna bağlandığı zaman desteklediği authentication methodları ise ;

  1. Cyberark(Password)
  2. Radius
  3. RSA SecurID
  4. LDAP

Central Policy Manager

Kasa’daki şifrelerin otomatik olarak restlenmesini(reconcile),değişmesini kısacası kasa’daki paroların yönetilmesini sağlayan bir componetdir.Vault sunucu ile erişimini TCP 1858 portu üzerinden yapmaktadır .PVWA sunucusu üzerinde bir Kasa(Safe) oluşturulduğu zaman .Oluşturulan kasanın yönetilmesi için ise her kasa’ya bir CPM atanır aksi takdir’de kasa’daki accountların yönetilmesi mümkün değildir. Kurulumu yapılmadan önce PVWA componetinin kurulması gerekmektedir.  Cyberark 10.9’dan itibaren  CPM çalışma mantığında bir takım değişiklikler yapmıştır. Bunlardan ilki PVWA SSL sertifikasını.Cpm sunucusunda import etmek gerekir.Bir diğeri ise TLS 1.2 Cpm sunucusun’da Enable etmek gerekmektedir.Kurulum öncesin’de “CPM_PreInstallation.ps1” script’I çalıştırıldığı zaman otomatik olarak yapacaktır.Kurulum sonrasında DEP’in kapatılması gerekmektedir.

Privilleged Session Manager

Kullanıcının 3389 portu kullanarak eriştiği Terminal bir sunucudur.Bu sunucu üzerinden Windows,Unix ,DB,Web gerekli portlara izin verilmesi durumun’da erişim sağlanarak oturumlarının kaydedilmesini Video ve TXT olarak kaydedilmesini sağlar.Vault sunucu ile erişimini 1858 portu üzerinden yapar.Ayrıca Virtualiztion kullanırak gerekli olan exelerin Psm sunucularına kurulumu yapılarak AutoIt yardımı ile son kullanıcıya uygulama üzerinden username ya da password yazılmasına gerek duyulmadan açılmasını sağlar.

Kurulum sonrasın’da  PSMConnect ve PSMAdminConnect adı altında iki tane Shadow user oluşur.Bir tanesi  session’ı kaydetmeyi sağlar iken diğer canlı oturumu monitoring etmeyi sağlar. Dikkat edilmesi gereken önemli bir husus ise PSM sunucuları kurumun uyguladığı Group Policy’den muhaf tutulması gerekmektedir. Kurulum sonrasında Psm sunucuları üzerinde Group Policy ayarları yapılır. Birden fazla yere kurulumu yapılabilir ayrıca load balancer arkasına alınabilir. Tüm kurulması gereken exe ve uygulamalar kurulduktan sonra sunucu’ya Uygulama Harding işlemi yapılır.

Privilleged Session Manager For SSH

Sadece SSH erişimi kullanılan bir componet’dir. Kurulum sırasında yeni bir kullanıcı oluşturulur.Çünkü kurulum sonrasında sunucuyu ve kullanıcıyı harding eder.

 

Bir sonraki yazımda görüşmek üzere.

Hoşçakalın

 

1:Kurulum tamamlandıktan sonra üzerine ek birşey kurulup çalıştırılmasına izin verilmeyen ,dışarıdan erişimi tamamıyla izole olan

 

Yorum Yap

Yazar Hakkında

Yakın Doğu Üniversitesi bilişim sistemleri mühendisliğinden mezun oldum. Barikat Siber Security de Teknik destek Services'de çalışıyorum ülke çapında yer alan siber güvenlik projelerinde yer alıyorum.

Yorum Yap