AAA
Authentication,Authorization ve Accounting
Siber saldırılar değişik metodlar ile dışarıdan yapılabildiği gibi ağın içerisine sızılarak da yapılabilmektedir. İçeriden yapılan siber saldırıların oranı, dışarıdan yapılan saldırıların oranına göre gün geçtikçe artış gösteriyor.
Dolayısıyla ağımıza yapılabilecek saldırılara karşı önlem alabilmek için öncelikle ağımıza içeriden yapılabilecek sızmaları önlemek gerekir. Bu nedenlerle ağımıza kimin hangi cihazların ne zaman ve hangi yetkilerle bağlanabileceği konusunda politikalar oluşturmamız ve ağ cihazlarımıza uygulamamız gerekmektedir.
AAA olarak da bilinen bu güvenlik önlemi , ağımıza içeriden ya da dışarıdan kimin bağlandığını, kimlik kontrolü yapma yani (Authentication ) , Kimlik kontrolünden başarılı ile geçenlerin ağımıza hangi yetkiler ile erişebileceği , başka bir deyişle hangi cihazlara ya da kaynaklara hangi seviyede erişim yetkisi verileceği Authorizaton Ve tüm bu olayların kayıtlarının tutulması ,Accounting olarak özetlenebilir. Bir örnek ile açıklayacak olursak
Bir kurumdan insan kaynakları bölümünden bir kullanıcı kablolu ya da kablosuz ağımıza bağlanmak istediğinde önce kullanıcı adı ve parolası girmesi gerekebilir. Kullanıcı bu bilgileri verdiğinde bu bilgiler kurumun veritabanından genellikle Active Directory ya da benzeri LDAP tabanlı sunucudan kontrol edilir.
Authtentication işlemi yapıldıktan sonra bu kullanıcının hangi kaynaklara hangi seviyeye erişebileceği politikası kullanıcya uygulanır. Kullanıcı insan kaynakları bölümünde çalıştığı için personelin özlük dosyaların bulunduğu sunuya erişim yetkisi verilebilir. Ama mühendislik çalışmaların bulunduğu sunucuya erişmesi engellenebilir. Hatta internette hangi tür sitelere kimin erişilebileceği de politika olarak tanımlanabilir.
Bu erişim yetkisi tanımlama işlemine Authorization denilmektedir.
Tüm bu işlemlerin kayıtlarının tutulması yani Accounting ,kullanıcının hangi sunucuya hangi zamanda diliminde bağlandığı hangi dosyalara eriştiği ne gibi değişiklikler yaptığı gibi kayıtların bir sunucuda toplanması bir siber güvenlik olayı incelemelere katkı sağlaması açısından çok önemlidir.
MFA(Multi Factor Authentication)
Authentication yani kimlik doğrulama yapılırken kullanıcının sadece kullanıcı adı ve parolasını sormak yeterli bir güvenlik sağlamayabilir.
Kullanıcı bu bilgierini başka birisi ile paylaşmış ya da çaldırmış olabilir. Bu sebeple ikincil hatta daha güvenlik isteyen kurumlarda üçüncül doğrulama yöntemleri kullanılmaktadır.
Kullanıcının kimliğini doğrulamak için 3 temel bilgiye bakmak gerekir. Kullanıcı neyi biliyor yani Kullanıcı adı, Parola Pin kodu ve benzeri neye sahip yani manyetik kart ve benzeri ve kullanıcını fiziksel özellikleri, parmak izin,göz kontrolü , yüz tanım programları vb .
Bu 3 temel bilgiden en az 2 farklı türden kimlik doğrulama işlemine MFA denilmektedir.
Örneğin kullanıcıdan kullanıcı adı ve parolasını girer. Eğer verdiği bilgiler veritabanımızdakiler ile uyumlu ise ikinci aşamaya geçebilir ve bu sefer parmak izi okutmasını isteyebiliriz.
802.1X ile AAA Uygulaması
AAA kimlik doğrulama ,yetkilendirme ve kayıt tutma gibi işlevlerini bir ağ içinde uygulamak için gerekli protokoller 802.1x, Radius ve Tacacs olarak sayılabilir.
AAA güvenlik önlemini bir ağ üzerinde uygulamak istediğimizde genellikle tüm kurumsal kullanıcıların kimlik doğrulama bilgileirni tek bir merkezde yedeklilik de sağlayarak toplamak ve yönetmek tercih edilir. Aksi halde ulaşılmak istenen her kaynakta ayrı ayrı o kaynağa ulaşması gereken kişilerin kimlik bilgilerini girmek gerekecektir ve bunu tüm sistemler sunucular, ağ cihazları güvenlik cihazları için yapmak oldukça yorucu ve yönetilemez bir iş olacaktır.
Bu nedenle bir ağda tüm kimlik bilgileri genelde active directory ya da benzeri LDAP tabanlı bir sunucuda toplanır. Kullanıcı bilgisayarından ağa bağlanmak istendiğinde kimlik bilgileri istenir vee bu bilgiler sunucudan kontrol edilir. Ancak bu yeterli bir güvenlik önlemi değildir. Çünkü kullanıcı sadece kimlik doğrulamasından geçirilmiştir. Ağda hangi cihazların ulaşabileceği ,hangi yetkilere sahip olduğu tanımlanmamıştır. Bu nedenle kurumsal bir ağ her uç noktadan bağlanan kullanıcıların daha ağa bağlanmadan önce kimlik doğrulama ve yetkilendirme işlemlerinden geçirip daha sonra ağa bağlanmasına izin vermek tercih edilen ve daha güvenli bir yöntem olacaktır.
IEEE tarafından 802.1X olarak standart olarak belirlenen bu yöntemde 3 temel paydaş bulunmaktadır.
Birincisi Suplicant yani kullanıcı ,bilgisayar ,printer, ip telefon ve benzeri uç cihazlar İkincisi Authenticator , kullanıcının ağdaki ilk paketini durduran , kullanıcının kimlik bilgilerini sorarak aldığı bilgileri AS (Authetntication Server) sunucusuna ileten cihazlar genellikle Switchler, AP yada kurumsal kablosuz ağlarda ağ kontrol cihazı yani Wireless LAN Controller (WLC) üçüncüsü ise Authentication Server
Authanticator cihazlar tarafından Radius veya Tacacs protokolleri ile gönderilen istekleri kurumsal veri tabanı ile entegre olarak doğrulayıp , gerekli yetkilendirme politikalarının uygulandığı sunucu tipik olarak Radius sunucu ya da üretici olarak (Cisco ISE).
Örnek olarak bir kullanıcı bilgisayarı ilk açtığında bilgisayarın işletim sisteminden ve oturum açma mekanizmalarından bağımsız olarak herhangi bir yere ulaşmak için bir paket gönderecektir. Kullanıcıdan gelen ilk ip paketi kullanıcının bağlı olduğu ağ cihazına yani Authenticator ulaştığında kullanıcın paketi diğer cihazlara gönderilmez. Durdurulur ve kullanıcıdan kimlik bilgileri girmesi istenir. Kullanıcıdan alınan bilgiler Radius protokolü içerisinde AS sunucusuna gönderilir. AS sunucusu kimlik bilgilerini doğrular ve yetkilendirmeleri belirler ve Authenticator cihaza sonuçları iletir.
Bu sonuçlar olumsuz olursa kullanıcının ağa erişimine izin verilmez. Olumlu ise authenticator cihazı AS sunucusunun aldığı sonuçları ,kullanıcın bağlı olduğu porta uygular örneğin bu sonuçlar arasında kullanıcının belirli ipler ya da subnetlere erişimi engelleyen Erişim Kontrol Listeleri(ACL) olabilir.
Kullanıcının ağa bağlanmasına tüm bu işlemler tamamlandıktan sonra izin verilir. 802.1X uygulanan bir ağda kurumsal ağ politikasına uygun olmayan bir cihazın ağa bağlanması mümkün değildir. Kullanıcılar ve uç cihazlar ağ politikasının belirlediği yetkilerle işlem gerçekleştirebilir. Tüm bu kimlik doğrulama ve yetkilendirme işlemlerin kayıtları zaman bilgisi ile birlikte AS sunucuya kayıt edilir. ve istenirse ayrı bir log toplama sunucusuna aktarılabilir. Dolayısıyla AAA son A’sı olan Accounting işlemi de sağlanarak kimin ne zaman hangi yetkiler ile ağa bağlanıldığının kayıtları daha sonra bir siber güvenlik zafiyeti oluştuğunda ilgili uzmanlar tarafından incelenebilir. Bu nedenle 802.1X protokolünü ağ erişim kontrolü amacıyla kullanmak günümüzde siber güvenliğin olmazsa olmaz bir parçasıdır.
Bu noktada herkesin aklına şöyle bir soru gelebilir. Neden bir aracıya ihtiyaç duyuluyor.
Daha bir teknik olarak neden Supplicant kullanıcı bilgileri AS’a direkt olarak göndermiyor. Authenticator bu bilgileri kullanıcıdan alıp AS’e gönderiyor. Bunun temel nedeni 802.1X’in diğer adıyla (EAPOL) Extansible Authentication Protocol over Lan ; Layer 2 bir protocol olmasıdır. Dolayısıyla kullanıcı bilgisayarı ancak kendi vlanındaki cihazlara 802.1X üzerinden iletişim kurabilir. Oysaki AS sunucusu kurumdaki tüm vlanlara hizmet vermektedir. Ve genellikle kurumun sunucu parkurunda konumlandırır.
Dolayısıyla Authenticator cihazı kullanıcı alanında 802.1x bilgilerini Layer 3 bir protokol olan Radius içinde kapsülleyerek AS’e ulaştırır.
Bir diğer neden de her durumda AS’den gelen sonuç bilgilerini kullanıcı cihazın bağlı olduğu ağ cihazında yani authenticator uygulanması gerekliliğidir. 802.1xden başka bir protocol kullanılacağıi kullanıcı bilgileri AS’e direkt olarak iletebilse dahi Portun açılması ya da kapatılması portun başka bir vlana atılması, porta ACL uygulanması gibi işlemler yine ağ cihazlarına uygulanacaktır.
Yani ,her durumda sonuçları uygulayacak bir cihaza ihtiaç duyulmaktadır ve bu cihazlar kullanıcıya en yakın cihazlar olan Ağ anahtarları ve Kablosuz Erişim Noktalarıdır(Access Point)
EAP bir çerçeve protokolü olarak tanımlanmıştır ve klasik kimlik doğrulama kullanıcı adı ve şifre yönetiminden farklı olarak dijital sertifika kullanımını da desteklemektedir.
Örneğin EAP , PAP ,kullanıcıların AS sunucusunun kimliğini AS’in kurumsal dijital sertifikası ile doğrulanmasını isterkenki bu ağ içerisindeki başka bir AS sunucusunun kontrol dışında konumlandırlmasını engeller. Kullanıcı bilglierini klasik kullanıcı adı ve şifre yöntemi ile doğrular. Başka bir 802.1X çeşidi olan EAP TLS ise çift taraflı sertifika kullanımını zorunluluk olarak belirler.
Dolayısıyla kullanıcılar için de her kullanıcı ve cihaz için ayrı kurumsal bir sertifika oluşturarak kullanıcıların kimlik doğrulama işleminin dijital sertifika üzerinden yapılması gerekmektedir.
Kullanılan 802.1X yöntemi Authenticator cihazlarında ektra bir konfigurasyon gerektirmez. Çünkü bu cihazların hangi tip EAP kullanıldığı bilmelerine gerek yoktur ve bilmezlerde.
Bu cihazların tek görevi kullanıcılardan aldığı 802.1X bilgilerini Radius üzerinde sunucusuna göndermek AS sunucusundan gelen cevaba göre portta işlem yapmaktır. Kullanılan EAP yöntemine göre konfigure edilmesi gereken cihazlar kullanıcı cihazları ve AS sunucusudur.
Ek olarak Radius protokolü üzerinden ağ yönetmek için faydalı olabilecek birçok parametre değişikliği planlanabilir. Örneğin kullanıcıların ağa bağlandığı vlanlar AS sunucusunda tanımlanabilir ve ağ cihazlarına bu politika iletilebilir. Yani kullanıcı bilgilerini kurumsal ağda başka bir noktaya taşıdığında aynı vlan’a sahip olabilir.
Dinamik vlan tahsisi olarak tanımlanan bu yöntemde bir kullanıcı bina içerisinde kat değiştirdiğinde ya da başka bir binaya gittiğinde dolayısıyla başka bir ağ anahtarı üzerinden işlem yaptığında; yeni ağ anahtarına bağlandığı portta vlan ayarlarını değiştirmek için ağ yönetim birimini aramasına gerek kalmayacak, vlan bilgisi otomatik olarak AS sunucusu tarafına yeni ağ anahtarını iletecektir.
Ağ yazıcısı yani network printer; ip telefon gibi cihazlar ağa bağlandıklarında bir kullanıcı adı veya parola ile doğrulanmazlar çünkü interaktif bir şekilde bu cihazları kullanan bir kullanıcı genellikle yoktur.
802.1X standardı bu tür durumlar için bir mekanizma geliştirmemiştir. Ancak üreticiler kendi metodlarını geliştirmişlerdir.
Örnek olarak kurumsal envanterimizde bu tür cihazların mac address listelerini oluşturarak ve bunu AS’e yükleyerek ya da entegrasyon sağlayarak ağ cihazlarımızın üreticisine bağlı olarak bağlanan cihazımızın mac adresini AS sunucusuna yönlendirmesini ve AS’in bu cihazlara erişip yetkilendirme ve kimlik doğrulama yapmasını sağlayabiliriz.
Ancak hangi portta bir kullanıcı tarafından kullanılan bilgisayar hangi portta printer bağlı olduğunu bilmek ve anahtarların konfigurasyonunu buna göre yapmak yorucu bir işlem olacaktır.
Daha da kötüsü bu cihazlar taşınabilir. Ve her taşındığında farklı bir ağ cihazının farklı bir portunu işlem yapmak gerekecektir.
Bu nedenle 802.1X uygulanan her portta eğer 802.1X’e cevap alınamıyorsa Mac adres kontrolü yapacak şekilde konfigurasyon yapılması en uygun çözüm olacaktır.
Bu sayede esneklik sağlanarak cihazların taşınması ya da portun başka bir tür cihaz tarafından kullanılması durumunda tekrar ağ cihazlarının konfigurasyon değiştirmek gerekmeyecektir.
802.1Xin başka bir kullanım amacı da ağ ve güvenlik cihazlarının hatta sunucuların kimler tarafından hangi yetkilerle kullanacağının belirlenmesidir.
Günümüzde her kurumda ayrı ayrı ya da bütünleşik olarak bir ağ ve siber güvenlik yönetim birimleri bulunmaktadır.
Bu birimlerde çalışan birimlerden hangilerinin hangi cihazda komutta çalıştırabileceğinin belirlenmesi gerekmektedir.
Örneğin işe yeni başlamış bir ağ mühendisine kurumun en kritik ağ cihazında en kritik komutları gerçekleştirmesi izni vermemek gerekir.
Bir kurumda ağ ve güvenlik cihazı sayısının genellikle yüzlerce hatta binlerce olduğu düşünüldüğünde her cihazda kimlik doğrulama, yetkilendirme ve kayıt tutma AAA işlemlerini ayrı ayrı uygulamak hem çok zor hem de yönetilmesi çok güç olacaktır.
802.1X ; bu işlemler için RADIUS kullanılabilir. Ancak Radius yerine daha çok Tacacs tercih edilir.
Radius ve Tacacs benzer protokoller olup her ikisi de 802.1X içinde authenticator cihazı ile AS sunucusu arasındaki iletişim için kullanılabilir. Ancak aralarındaki yapısal farklılıklar hangi protocolün ne zaman kullanılacağını belirlenmesini etkili olmuştur.
Radius ve Tacacsın ağ ve güvenlik cihazlarının yönetim perspektifinde farklılaşan özellikleri şekilde özetlenmiştir.
Radius UDP tabanlı olup 1812 ve 1813 portlarından hizmet verirken Tacacs tcp 49 portunu kullanmaktadır.
Tacacs'ın TCP kullanması,her paketin yerine ulaşıp ulaşmadığının, ulaşmadıysa tekrar gönderilmesini sağladığı için daha güvenilir olmasını sağlamaktadır.
Radius sadece kullanıcının kimlik bilgilerini şifrelerken, Tacacs tüm bilgileri şifrelemektedir.
Tacacs kimlik doğrulama ve yetkilendirme işlemlerini ayrı ayrı yaparken,Radius bu iki işlemi aynı anda yapmaktadır.
Radius standart bir protokolken,Tacacs Cisco firmasının geliştirdiği bir protokoldür. Yine de Tacacs birçok başka üretici tarafından da desteklenmektedir.
Kimlik denetimi ve yetkilendirme birlikte yönetilir.
Sadece parola hashlenir.
Her cihaz için yetkilendirme yapılır.
Komutlar loglanmaz.
UDP kullanır.
Kullanıcı için tasarlanmıştır.
AAA
Ethernet networklerde bir kullanıcıın networke erişebilmesi için defaultta herhangi bir doğrulama mekanizması yok yani biz bilgisayarın switchin portuna taktığımızda networke erişmiş oluyoruz
Bunun için herhangi bir doğrulama yetkilendirme veya izleme defaultta yapılmıyor.
Fakat network cihazlarında local olarak kullanıcı girişleri yapılandırabiliyor yani bir routera switchimizde localde kullanıcı adı ve parola belirleyerek kullanıcı girişlerini denetimli hale getirebiliyoruz. Örneğin routerda kullanıcı adı ve parola belirleyip line vty altında kullanıcı adı ile login olma yapılandırıldıığında yerel olarak doğrulama işlemini yani authentication işlemini yapmış oluyoruz. Kullanıcı burada routera erişirken belirlemiş olduğu kullanıcı adı ve parola ile routera erişebiliyor.
Tabi bu network cihazlarının az olduğu network cihazlarına erişim yapan kişi sayısı az olduğu durumlarda teker teker yapılabilcek bir işlem yani herbir cihaza erişip o cihaza kimlerin erişebileceğinin verilmesi parolaların verilmesi güncellenmesi ve yetkilendirilmesi gibi cihaz sayısının az olduğu durumlarda mümkün olabilir. Network cihaz sayısı arttığında örneğin 100 tane cihaz olduğunda bu kullanıcıya erişecek kullanıcı sayısı arttığında herbir kullanıcı tanımlamaların manuel olarak yapılması parolaların belirlenmesi o şifrelerin belirli zamanda değiştirilmesi ve tüm bu belirlenen parolaları hatırlamak çok fazla iş yükü gerektiren bir durum ve çok mümkün olmayan bir durum bu iş yükünün azaltmak network cihazlarını daha güvenli bir erişim sağlamak ve uygulanacak olan güvenlik politikarlını merkezileştirmek için authentication, authorization ve accounting denilen yöntem kullanılıyor.
Kullanıcı bilgileri bir sunucu üzerinde tutuluyor. Burada kullanıcı network cihazlarına erişmek istediğinde normalde network üzerinde manuel olarak yapılandırma yapılalabilir. Çok fazla cihaz olduğunda manuel yapılandırma yerine AAA kullanıldığında bir tane Radius ya da Tacacs protokollerini kullanan server belirleniyor ve kullanıcı artık kullanıcı bu serverdan erişip erişemeyeceğini soruyor buna göre networke erişebiliyor veya erişemiyor.
Tüm işlemler,tüm kullanıcı işlemleri bu server'da yapılıyor.
Authentication ==> Bir kullanıcının network ve network cihazlarına erişmek için ilk başta kullanıcı ismi ve parolası ile yapmış olduğu kimlik doğrulama işlemi anlamına geliyor bu işlemde kullanıcının sahip olduğu kullanıcı adının sistemde kayıtlı olup olmadığı kontrol ediliyor.
Daha sonra kullanıcıya verilen parola da kontrol ediliyor eğer doğrulama işlemi doğruysa doğrulama sağlanıyorsa kullanıcıya network giriş izni veriliyor.
Authorization ==>Yetkilendirme de kullanıcı adı ve parola doğrulaması sağlanan kullanıcııların hangi yetkiler ile networke erişebileceğinin belirlendiği bir aşama örneğin kullanıcı routera erişebiliyor fakat verilen yetkiye göre priviledged mode yani enable moda geçebiliyor veya geçemiyor Örneğin routera erişsin ama global moda erişmesin diyoruz.
Accounting ==> Artık netwok cihazlarına erişmiş olan cihazların kullanıcılların yapmış oldukları bütün işlemlerin kayıt altına alınması yani loglanması anlamına geliyor.
Örneğin kullanıcının cihaza erişim saati cihaz üzerinde yapmış oldukları configurationların değişiklikleri bu accounting ile kayıt altına alınıyor.
Bir sorun ile karşılaşıldığında sorunun tespiti içn kullanılıyor
Banka kredi kartına benzetebiliriz. Kart üzeirndeki bilgiler ile Ad soyad vs bu bilgiler ile doğrulama (authentication) işlemi bu bilgiler ile O kullanıcıya verilmiş olan harcama limiti ise bu limit ile de aslında yetkilendirme yapılıyor.
Biz diyoruzki örneğin 5 bin liraya kadar kullanabiliriz diyoruz bu da authoriztation. Nerede ne zaman ne kadar harcama yaptığı ise kayıt altına alınıyor ekstra gibi ay sonunda bu ekstrada accounting yani kullanının aktivitelerini izlenmesi olarak değerlendirilebilir.
Networke kimlik tabanlı doğrulama ile erişirken yani kullanıcı tarafından, kullanıcı adı ve şifre ile erişilirken kullanılan protokol IEEE'nin 802.1X protokolü. Bu protokol Port Based Network Access Control (Port tabanlı network Erişim Protokolü) diye de geçiyor. Bu protokol 3 bileşenden oluşuyor.
Bunlardan birisi istek sahibi yani client örneğin 802.1X uyumlu windows bilgisyara olabilir ikincisi kimlik doğrulama için kullanılan authenticator( Ethernet switch olarabilir access point olabilir).
Bu doğrulayıcı authenticator kullanıcı ile server arasında olan bir cihaz. Üçüncüsü ise kimlik doğrulama serverı yani authentication server Radius veya TACACS protokollerini kullanan bir server.
İstek sahibi yani kullanıcı bir network cihazına erişmek istediğinde authenticator yani doğrulayıcı kullanıcıdan doğrulama bilgilerini istiyor. Yani kullanıcı adı ve parola bilgileri doğrulayıcı tarafından soruluyor. Kullanıcı bu bilgileri gönderdiğinde bu bilgilerin içeriğine bakmadan direkt olarak doğrulama serverına yani radius veya Tacacs protkolünü kullanan servera gönderiyor eğer kullanıcı adı ve password doğru ise kullanıcının networke erişmesine izin veriliyor. Burada doğrulama başarılı olmazsa kullanıcı netwoke dahil olamıyor. IEEE'nin 802.1X dediğimiz protokolünün kimlik doğrulaması da bu şekilde yapılıyor. Merkezci olarak authentication server kullandığımızda kullanıcı network cihazlarına login olmak istediğinde bu istek network cihazının localinde bulunan kullanıcı ve parola ile control edilmeden doğrudan authentication server göndereliyor yani biz burada artık authenticationu enable ettiğimizde network cihazının içerisinde local kullanıcı adı ve parolalar olsa dahi bu bilgiler hiç buraya sorulmadan uğramadan network cihazına uğramadan direkt authention servera gidiyor. Authentication serverda 2 farklı protokol kullanabiliyor. Bunlardan bir tanesi Tacacs protokolü bir diğeri de Radius protokolü. Tacacs genellikle network cihazlarda kullanılıyor Radius ise kullanıcılarda kullanılıyor.
Her iki protokolde server ile kullanıcı arasında parollar şifrelenerek gönderiliyor. Fakat tacacs hem parola hem bütün paket hem de kullanıcı adı kriptolu olarak iletiliyor.
Radius = Remote Authentication Dial-in User Service Tacacs =Terminal Access Controller Access-Control-System
ÖRNEK
AAA Server içerisine girip AAA Servis'ini Off'dan On'a çekiyoruz ve daha sonra Authentication configurasyonu yapacağımız router veya switch bilgilerini (network cihaz bilgilerini) ekliyoruz
Öncelikle Client Name yani Hostname (R1 router'ını ekleyelim) Secret key olarak cisco girdik. Router üzerinde konfigurasyon yaparken de bunu ekleyeceğiz. ServiceType ise kullanacağımız protokol yani Radius.
Daha sonrasında bu cihazlarda kullanılacak olan kullanıcı adı ve password'u belirleyelim.
Admin ve cisco ile authentication server üzerinden yetki alıp kullanıcılar bu cihazlara erişiyor olacak. Şimdi gelelim router üzerindeki konfigurasyona.
İlk olarak network cihazlarımızın erişimi var mı diye baktık ve ping attık. Erişimimiz var.
new-model dediğimizde yeni access kontrol komutları ekleniyor. Paket tracer'da göremiyoruz ama gerçek cihazlarda konfigurasyon altındaki kontrol komutlarının değiştiğini görebiliyoruz.
R1(config)#aaa new-model
biz authenticaiton yapmak istiyoruz. Login ve enable için authentication yapabiliyoruz.
Önce Login yapalım arkasından default diyoruz. Default dediğimizde biz tüm Line'lar için bunun geçerli olacağını ifade ediyoruz. Yani hem Konsole bağlantısı için hem telnet bağlantısı için bu geçerli olacak. Sonrasında group, Group olarak seçtiğimizde de Radius veya Tacacs, R1 router'da Radius konfigurasyonu yapacağız. Son olarak da Local diyoruz. Backup belirliyoruz. Local Backup dediğimiz yani Radius Server'ımıza erişemediğimiz zaman Örneğin biz PC-1 den R1 router'ına Telnet yapmak istiyoruz. Radius Server bu konfigurasyonu yaptığımız andan itibaren artık Authentication server devreye giriyor ve tüm erişim bu authentication server üzerinden izin verilirse sağlanıyor. Authentication server eğer erişime açık olmazsa diyelimki interface kapalı vs. Erişemiyoruz herhangi bir iletişimimiz yok. O zaman buradaki Local ayarlar ile Local username ve passsword ile bu cihaza erişebiliyoruz.
Buradaki mavi yazı olan Local ; Backup unsurumuz.
Login için belirledik şimdi de enable için aynı konfigurasyonu girelim.
R1(config)#aaa authentication login default group radius local
R1(config)#aaa authentication enable default group radius local
Hem login hem de enable için belirledim ve sonunda local backup belirlediğimiz için backup username ve parola belirleyelim.
R1(config)#username sefa password cisco
Yani Local Account ile biz girmek istediğimizde normalde AAA ayarlarını yaptığımız için giremiyor olacağız. Ama AAA serverına erişemediğimiz zaman Local username ve parola ile girebililyor olacağız.
Bir de burada Radius serverımızı ekliyoruz.
R1(config)#radius-server host 192.168.1.40 key cisco
PC-1den R1 router'ına telnet yapalım.
Gördüğünüz gibi router üzerinde herhangi bir line vty, console ayarlaması yapmadık. Ama biz routerımıza erişebiliyoruz.
R2 üzerinde konfigurasyon
PC1 den R1 Routera Local kullanıcı adı ve parola ile erişim sağlamaya çalıştık. Erişemedik çünkü şu durumda giriliyor AAA server'a erişilemediği durumda bu belirlemiş olduğumuz local kullanıcı adı ve parola ile girebiliyoruz.
R3 üzerinde Konfigurasyon
Switch Üzerinde Konfigurasyon
Router2'den konsoledan giriş yapmayı denediğimizde tacacs' buradan görebilirsiniz 49.porttu kullanıyor.
Server Based AAA'da Client'ımız burada Router olmuş oluyor.
Accounting
Network Accounting: Çeşitli uzaktan bağlantılar ile yapılan ağa erişimlere ilişkin kullanım kayıtları
Connection Accounting: AAA Client tarafından yapılan Telnet ve SSH gibi bağlantılara ilişkin bilgiler
Exec Accounting: Exec Modunda oturumu ile ilgili (veya Shell) username, date, start-stop erişim IP adresi gibi bilgiler
System Accounting: Sistem düzeyindeki (sistem reboot etti vb) bilgileri
Command Accounting: Belirli bir privilege düzeyine ilişkin EXEC Shell komutlarına ait bilgiler.
Kullanıcı Adı JR-ADMIN olan parolası da Str0ng5rPa55w0rd olan ve bu parola local database'de tutulduğu zaman bunu kriptolu olarak tutulmasını istiyorum. Hash'lenerek tutulmasını istiyorum. Orada da scrypt denilen bir algoritma türü kullanıyorum.
aaa new model ( AAA hizmetini açtık) aaa authentication login local-case enable (Login olurken Local-case yöntemini kullan. Büyük küçük harf duyarlılığı olarak Locak database kullan.
aaa authentication login SSH-LOGIN local-case line vty 0 4 login authentication SSH-LOGIN (Ben yeni bir kural tanımlıyorum.İsmi SSH-LOGIN olsun, SSH-LOGIN'i de vty hattına uygulamış oldum. Yani VTY İle gelmek isteyen varsa SSH-LOGIN kuralları geçerlidir. Yani local database kullanmış oluyorum burada (local-case) diyerek.
Configure Tacacs+ Server (Sunucu Tabanlı Kimlik Doğrulamayı Yapılandırma)
Sunucu tabanlı kimlik doğrulamasını yapılandırmak için dört temel adım vardır:
Adım 1. Tüm AAA öğelerinin kullanımına izin vermek için AAA'yı global olarak etkinleştirin. Bu adım, diğer tüm AAA komutları için bir ön koşuldur.
Adım 2. Yönlendirici için AAA hizmetleri sağlayacak sunucuyu belirleyin. Bu bir TACACS+ veya RADIUS sunucusu olabilir.
Adım 3. Ağ cihazı ile AAA sunucusu arasındaki veri aktarımını şifrelemek için gereken şifreleme anahtarını yapılandırın.
Adım 4. TACACS+ veya RADIUS sunucusuna başvurmak için AAA kimlik doğrulama yöntemi listesini yapılandırın. Yedeklilik için birden fazla sunucu konfigüre etmek mümkündür.
Tacacs+ Sunucusu Yapılandırma
İsmi Server-T olan bir tacacs server oluşturdum. ipv4 adresi 192.168.1.101 olsun. Single-connection özelliğini açayım. Anahtar ise TACACS-Pa55w0rd. Buradaki anahtar Tacacs server ile AAA yapılandırılmış Router arasında kriptolu veri transferi için kullanılıyor.
Hizmet alacağım kişi router olacağı için Name ve Ip adresini girdik ve key olarak Cisco123 girdik.
Router üzerinde eğer Radius down olursa Local'den erişim sağlamak için ise şu ayarlamaları yapmamız gerekiyor. Localdatabase'de kullanıcı ismi localAdmin ve level 15 ve parolası Cisco123 olan MD5 ile hashlenecek olan bir yapı kurmuş oldum
Router(config)#username localAdmin privilege 15 secret Cisco123
Last updated
