Cem Kemal Erbaş Cem Kemal Erbaş
AAA Güvenlik Konsepti
Authentication (doğrulama), Authorization (yetkilendirme) ve Accounting (aktivite izlenmesi) kısaca AAA olarak bilinen ve ağ kaynaklarına güvenli erişimi sağlayan güvenlik unsurlarıdır. AAA servislerine ulaşabilmek için iki tip erişim metodu vardır:
Karakter modu: Yönlendiriciye, yönetim amaçlı gönderilen isteklerdir.
Paket modu: Başka bir ağda bulunan cihaza erişim için gönderilen isteklerdir.
AAA güvenlik unsurlarına bankaların uyguladığı kredi kartı sistemi örnek olarak verilebilir. Bankanın kullanıcıya vermiş olduğu kartın üzerindeki kart numarası, ad, soyad ve son kullanma tarihi bilgileriyle doğrulama işlemi gerçekleştirilir. O kullanıcıya verilmiş olan harcama limiti ile yetkilendirme işlemi yapılır. Nerede, ne zaman, ne kadar harcama yaptığının kayıt altına alınması ve sonucunda bir ekstre oluşturulması ile de kullanıcı aktivitelerinin izlenmesi işlemi yapılır.
Authentication (Doğrulama):
Kullanıcının sisteme bağlanabilmesi için ilk başta yapılması gereken işleme authentication (doğrulama) denir. Ana bilgisayar, anahtarlayıcı veya yönlendirici kullanımı sırasında cihaz veya kullanıcının kimliğinin doğrulanma işlemidir. Bu işlem ile kullanıcının sahip olduğu kullanıcı adının sistemde kayıtlı olup olmadığı kontrol edilir. Daha sonra kullanıcıya verilen parola da kontrol edilerek doğrulama işlemi yapılır. Doğrulama sağlanırsa kullanıcıya sisteme giriş izni verilir. Sistem üzerinde açık bulunan her port ve servis göz önünde buludurularak sisteme anonim erişim verilebilir. Şifrelerin gerektiği kadar güvenli olabilmesi de uygulanmakta olan şifre politikasına bağlıdır.
Doğrulama işlemi iki şekilde yapılır:
Yerel AAA Doğrulaması: Yönlendiricinin kendi veritabanınında bulunan kullanıcı adı ve şifreleriyle yapılır. Genellikle küçük tracking phones onlinespy on cell phone without accesshttp://mit.okcomputersmz.com/jd/spy-mobile-software-free-download/help islam for cheating spousespy on phone no crdit card neededche do an con thong minh
ağlarda uygulanır.
Sunucu-Tabanlı AAA Doğrulaması: Eğer ağda bulunan yönlendiricinin miktarı fazla ise sunucu-tabanlı AAA doğrulaması uygulanır. Sistemde kullanılan kullanıcı adı ve şifreler bu sunucuda saklanır ve doğrulama işlemi sunucuda yapılır.
Authorization (Yetkilendirme)
Kullanıcı adı ve şifre doğrulaması sağlanan kullanıcıların sisteme, programa veya ağa hangi yetkilerle erişim hakkına sahip olduklarını belirten sisteme authorization (yetkilendirme) denir. Sisteme kayıtlı olan kullanıcılar gruplanarak, bu gruplara çeşitli yetkiler verilir. Kullanıcı içerisinde bulunduğu grubun bütün yetkilerine sahiptir. Eğer bir kullanıcı birden fazla gruba üye ise bu gruplara verilen yetkilerin hepsine sahiptir. Güvenliğin tam olarak sağlanabilmesi için kullanıcılara gerekenden fazla yetki verilmemelidir. Yetkiler verilirken sistem üzerindeki açık her bağlantı noktası (port) göz cialis for women önünde bulundurulmalıdır.
Accounting (Aktivite İzlenmesi)
Bir sorun ile karşılaşıldığında sorunun tespitinin sağlanabilmesi için kullanılan sisteme accounting (aktivite izlenmesi) denir. Sistemde bulunan kullanıcıların yaptıkları bütün işlemler ve erişim saatleri kayıt altına alınır. Bir problem çıktığında ise kullanıcı aktivitelerinin tutulduğu bu kayıtlardan sorun anlaşılmaya ve çözülmeye çalışılır.
RADIUS
RADIUS, Remote Authentication Dial In User Service (Uzaktan Aramalı Kullanıcı Kimlik Kanıtlama Servisi) uzaktan ağa erişmek isteyen kullanıcıların kimlik denetimini gerçekleştirmek üzere IETF (Internet Engineering Task Force) tarafından standartlaştırılan bir protokoldür. İlk başta internet servis sağlayıcıları, ağını kullanmak isteyen kullanıcıların kullanıcı adı ve parola doğrulamasının sağlanması için kullanılmıştır. RADIUS iletim için UDP (User Datagram Protocol) kullanır. Bu protokol İnternet erişimi ve elektronik posta servisi erişimi yanında RAS (Remote Access Server- Uzak Erişim Sunucusu) ve VPN (Virtual Private Network – Sanal Özel Ağ) gibi sistemlerde sıklıkla kullanılır. Bu protokol ile kaynaklara güvenli erişim için gereken güvenlik unsurları yani doğrulama, yetkilendirme ve kullanıcı aktivitelerinin izlenmesi sağlanır. Bir istemci ağa erişmek istediğinde sunucu üzerinden ağa erişmek için RADIUS sunucusuna istek gönderir. RADIUS sunucusu canada pharmacy online rx 3 farklı biçimde bu isteğe cevap verebilir:
Access Reject (Erişim reddi): Kullanıcı doğrulama işlemi gerçekleştirilemez ve RADIUS sunucusu, kullanıcıya ağ kaynaklarına erişemeyeceği konusunda bu cevabı gönderir.
Access Challange (Erişim Kimlik Sorgusu): RADIUS sunucusu kullanıcıya ağa erişebilmesi için ikinci top pharmacy schools in canada bir şifre isteyen bir cevap gönderir.
Access Accept (Erişim Kabulü): Kullanıcıların bilgileri doğrulanır ve RADIUS sunucusu kullanıcının ağa erişimine izin verir.
Bu protokolün örneklerinden biri de FreeRADIUS adına sahip açık kaynak kodlu ve günümüzde bütün kimlik yetkilendirme protokolleri ve veritabanlarını destekleyen bir yazılımdır. Bu yazılım ile yapılabilecek işlemler:
Ağa erişmek isteyen kişiler için doğrulama işlemi yapılır.
Ağa erişebilen bütün kullanıcılar için ayrı ayrı yetkilendirme yapılabileceği gibi kullanıcılar gruplanıp, gruplara yetkiler verilebilir.
Sisteme o an içinde bağlı olan kullanıcılar gözlemlenebilir.
Proxy kullanımını destekler.
ÖnBilgilendirme:
-Temel Router konfigurasyonu tamamlanmıştır.
show ip route
-Routing Protokolü olarak RIPv2 kullanılmıştır.
ADIM1:
PC-A’dan PC-B ve PC-C’ye ping atarak
networkler arası erişimin bulunduğunu doğrulayın.
HEDEFLER:
1) R1’de bir yerel kullanıcı hesabı yaratın ve yerel ayarları kullanarak
konsolda ve vty satırlarında kimlik doğrulaması için “AAA Authentication”
yapılandırın.
2) TACACS + kullanarak sunucu tabanlı AAA kimlik doğrulamasını yapılandırın.
3) RADIUS kullanarak sunucu tabanlı AAA kimlik doğrulamasını yapılandırın.
HEDEF1:
- R1’de Console ve Telnet erisimi icin
lokal AAA kimlik denetimi yapılandırması: - R1’de lokal bir kullanıcı yaratın.
Kullanıcı adı: “cemerbas” Parolasi: “Security2019” - Lokal veritabanından kimlik denetimi yapacak sekilde
AAA Kimlik dogrulamasını devreye alın. aaa new-model
aaa authentication login default local
!TUM LOGIN ISLEMLERI ICIN (VTY,CONSOLE,AUX)
! LOKAL KULLANICI VERITABANI DEVREYE ALINDI
line console 0
login authentication default - Bir sonraki adımda Kimlik Denetiminin test edelim.
(exit, exit ile Console arayüzünden
çıkış yapıp tekrar cihaza login olmaya çalışın.) - admin1 kullanıcısı ile giriş yapabiliyorsanız
Console kısmını tamamladınız. - VTY erisimi icin SSH yapılandırmasını tamamlayalım.
ip domain name ccnasecurity.com
crypto key generate rsa
![R1.ccnasecurity.com icin RSA anahtar cifti olusturacagim.
!Kac bit olsun? [512] 1024 olarak belirtiyoruz. aaa authentication login SSH-LOGIN local
line vty 0 4
login authentication SSH-LOGIN - PC-A’dan admin1 kullanıcısı ile SSH erişimi yapmayı deneyelim.
PC-A: ssh -l admin1 192.168.1.1
Yapabiliyorsanız HEDEF1 kısmını tamamladınız.
HEDEF2:
- R2’de Console erisimi icin Tacacs+ ile kimlik
dogrulaması yapılandırması: - Oncelikle R2’de backup amacli lokal bir kullanıcı
yaratıyoruz. Tacacs+ erişimimiz koparsa cihaza
erisim icin bu kullanıcıyı kullanacagiz.
Kullanıcı adı: “cemerbas” Parolasi: “Security2019” - TACACS+ sunucusunu yapılandırın. R2 cihazını ekleyin.
SERVICES -> AAA
Service: On
Client Name: R2 Client IP: 192.168.2.1
Secret: tacacspwd ServerType: TACACAS
ADD (butonu ile ekleyin) - TACACS sunucusunda aşağıdaki kullanıcıyı yaratın:
Kullanıcı adı: “admin2” Parolasi: “Sec007” - R2 cihazında TACACS+ sunucusunu tanımlayın.
(Tacacs’da tum iletisim kriptolu gerceklesir) tacacs-server host 192.168.2.2
tacacs-server key tacacspwd - Console Erisimi icin TACACS+ üzerinden AAA
kimlik dogrulamasını devreye alın. TACACS+ sunucusuna
erisilemezse ikinci metod olarak lokal veritabanından
kimlik denetimi yapılsın. aaa new-model
aaa authentication login default group tacacs+ local line console 0
login authentication default - Bir sonraki adımda Kimlik Denetiminin test edelim.
(exit, exit ile Console arayüzünden çıkış yapıp tekrar cihaza
login olmaya çalışın.) - admin2 kullanıcısı ile giriş yapabiliyorsanız HEDEF2’yi
tamamladınız.
HEDEF3:
- Console erisimi icin Radius ile kimlik dogrulaması
yapılandırması: - Oncelikle R3’de backup amacli lokal bir kullanıcı
yaratıyoruz. Radius sunucusuna erişimimiz koparsa cihaza
erisim icin bu kullanıcıyı kullanacagiz.
Kullanıcı adı: “admin3” Parolasi: “Sec007” - RADIUS sunucusunu yapılandırın. R3 cihazını ekleyin.
SERVICES -> AAA
Service: On
Client Name: R3 Client IP: 192.168.3.1
Secret: radiuspwd ServerType: RADIUS
ADD (butonu ile ekleyin) - RADIUS sunucusunda aşağıdaki kullanıcıyı yaratın:
Kullanıcı adı: “admin3” Parolasi: “Sec007” - R3 cihazında RADIUS sunucusunu tanımlayın.
(Radius’da tum iletisim acık bir sekilde gerceklesir) radius-server host 192.168.3.2
radius-server key radiuspwd - Console Erisimi icin RADIUS üzerinden AAA
kimlik dogrulamasını devreye alın. RADIUS sunucusuna
erisilemezse ikinci metod olarak lokal veritabanından
kimlik denetimi yapılsın. aaa new-model
aaa authentication login default group radius local line console 0
login authentication default - Bir sonraki adımda Kimlik Denetiminin test edelim.
(exit, exit ile Console arayüzünden çıkış yapıp tekrar cihaza
login olmaya çalışın.) - admin3 kullanıcısı ile giriş yapabiliyorsanız HEDEF3’u tamamladınız.
