| Yazan: Hayrullah Kolukisaoglu,
Tarih: 21-11-2007 23:47
|
Okunma Sayısı : 3631  |
Beğenilme : 1 |
 Merhaba arkadaslar. Cisco IOS Routerlar üzerinde yapilacak konfigürasyonlar ile, HTTP, HTTPS FTP ve TELNET isteginde bulunacak istemcilerin kimlik dogrulamasini asmalari halinde internete erisebilmeleri aksi takdirde bloklanmalari saglanabilir. Bu makalemiz içerisinde Cisco IOS Router kullanarak, internet erisimi sirasinda nasil kimlik dogrulamasi yapilacagini anlatmaya çalisacagim. Cisco IOS Routerlar Authentication Proxy olarak konfigüre edildiklerinde, internet erisimi sirasinda kimlik dogruluma için istemcilere kullanici adi ve sifrelerini girebilecekleri bir pencere çikarir. Ancak izin verilen kullanici adi ve sifrelere sahip kullanicilar internet erisimine izin verirken digerlerini bloklar. Authentication Proxy özelligi içeriden disariya çikmak isteyen kullanicilar için kullanilabilecegi gibi internetten içeriye gelecek istemciler içinde kullanilabilir.
Sistem su sekilde çalisir; Router üzerinde olusturacagimiz Access List ile Router üzerinde geçecek bütün trafigi yasaklariz. Tabi ki bu zorunluluk degildir. Istersen burada bazi kullanicilar için kalici izinlerde verilebilir. Trafigi yasakladigimiz için hiç bir kullanici internet erisimine sahip olmaz. Bu durumda Authentication Proxy devreye girer ve internet erisimi isteyen kullanicilar için kimlik dogrulama saglar. Devaminda kimlik dogrulamayi basariyla geçen kullanicilara izin verilen Access Listler download edilir. Dolayisiyla sunu da söyleyebiliriz; burada Router disinda ihtiyacimiz olan, kullanici bazi Access Listleri ve kimlik dogrulama için veritabanini tutan bir yazilima ihtiyacmizi olacaktir. Bu yazilim Cisco Secure ACS’den baska birsey degildir.
Bütün bu kimlik dogrulama islemleri su sirayla yürüyecektir.
1. Kullanici internet erisimi için istekte bulunur.
2. Router kmlik dogrulama için kullanici adi ve sifre ekranini kullaniciya döner
3. Kullanicinin girdigi kullanici adi ve sifre AAA Server (Cisco Secure ACS) üzerinden kontrol edilir.
4. Kimlik dogrulama basariliysa AAA Server’dan o kullanicinin dahil oldugu gruba özel Access Listler download edilir. Kimlik dogrulama basarisiz ise oturum kapatilir.
5. Download edilen Access Listler belirlenen timeout süreleri sonunda Router tarafindan kaldirilir.
Simdi sirasiyla bu konfigürasyonlari yapacagiz. Izleyecegimiz yol su sekilde olacak;
1. AAA Server konfigürasyonu
2. Router üzerinde HTTP Server konfigürasyonu
3. Authentication Prixy konfigürasyonu
4. Testler
Burada kullanacagimiz topoloji ve ip konfigürasyonu asagidaki gibidir.
önce Cisco Secure ACS konfigürasyonunu yapacagiz. önce ACS Network Configuration menüsünden Internet Erisiminde kullanacagimiz Router’i AAA Client’i olarak tanimlamaliyiz. Burada dikkat edecegimiz nokta Authentication için TACAS+ seçmek gerekliligidir.
Daha sonra Interface Configuration menüsüne geçecegiz.
Authentication Proxy özelligi default olrak açik degildir ve Inerface Configuration altindaki TACACS menüsünden aktif hale getirilmelidir.
Burada New Services kisminda manuel olrak auth-proxy yazilarak bu servisin açilmasi saglanabilir.
Authentication Proxy için kullanilacak download edilebilir Access Listler grup bazli olusturulurlar. Ben burada örnek olmasi için ACS üzerinde “kolukisaoglu” isimli bir kullanici olusturdum ve bu kullaniciyi Group 1’e üye yaptim.
ACS üzerinde Group Setup menüsünden Edit Settings kismina girerek konfigürasyonumuza devam ediyoruz.
Group Setup kisminda sekildeki bölümden faydalanarak ACL’leri olusturucagiz. Buradaki ACL yazimi Router üzerinde konfigüre ettigimiz ACL’lerden farklidir ve asagidaki örnekteki gibi yazilabilir;
proxyacl#1=permit tcp any any eq 80
Buradaki 1, ACL numarasi degildir ve satirin ACL’in birinci satiri oldugu anlamina gelmektedir.
Dikat ederseniz burada belirli bir ip adresi kullanmak yerine “any” ifadesini kullandik. Her ne kadar burada sanki herkese izin veriyor gibi görünsekte ACS tarafindan, kullanici kimlik dogrulama tamamlandiktan sonra “any” yerine kullanicin ip adresi gelecek ve Routera bu sekilde kullanilacaktir. Dolayisiyla ACL’in kaynak ip adresi her zaman any olmalidir. Yine burada dikkatimizi çeken bir diger ifade de Privileged level olacaktir. Konfigüre edilen Access Listlerin Router üzerine yazilabilmesi için Privileged level’in 15 olarak mutlaka belirlenmesi gerekmektedir.
ACS üzerindeki konfigürasyonlarimiz bu kadar. Artik Routera baglanarak oradaki konfigürasyonlarimizi yapabiliriz.
Ilk yapacagimiz islem AAA konfigürasyonlarini tamamlamak olacaktir.
 Devaminda yapacagimiz islem HTTP Servera enable etmek ve HTTP Authentication için AAA kullanilacagini belirtmek olacaktir.
 HTTP server ile ilgili konfigürasyonlarimizin ardindan Authentication Proxy konfigürasyonuna baslayabiliriz. Bunun için Global Konfigürasyon modunda “ip auth-proxy” komutu kullanilmaktadir. Bu komut ile yapabilecegimiz bir çok konfigürasyon var. Simdi bunlardan önemli olanlari açiklamaya çalisacagim.
Bunlardan bir tanesi kimlik dogrulama için açilacak pencerede görünmesini saglayabilecegimiz bir bannerdir ve asagidaki gibi konfigüre edilebilir.
Ben burada “Internet Erisim” gibi basit bir ifade kullandim. Bir diger konfigürasyon ise Authentication Proxy ismidir.
 Istenirse kimlik dogrulamayi geçen kullanicilar için bir Idle Time süresi tanimlanabilir. örnegin 10 dakika boyunca Idle durumda olan kullanicilarin oturumunu sonlandirmak istersek asagidaki gibi bir konfigürasyon yapabiliriz.
Olusturdugum HAYRULLAH isimli kural ben bir interface’e uygulayana kadar çalismayacaktir. Authentication Proxy konfigürasyonumuz artik bitti. Simdi bütün trafigi yasaklayan bir ACL olusturup, internet erisimi için kullandigim interface’e Auth-Proxy kurali ile birlikte uygulayacagim.
Simdi Internet erisimi için browseri açtigimda asagidaki gibi kimlik dogrulama ekrani ile karsilasiyorum.
 Routera baktigimizda dinamik olarak bir satirin ACL’ eklendigini ve Authenticaion Proxy cache’inde bizimle ilgili bilgileri görebiliriz.
 Evet basarili bir sekilde kimlik dogrulamayi astik. Kimlik ldogrulamada bir sorun olsaydi asagidaki uyariyi alacak ve internete erisemeyecektik.
 Evet arkadaslar bu makalemizde, bizlere Cisco Routerlar üzerinde internet erisimi sirasinda kimlik dogrulama olanagi sunan Authentication Proxy konfigürasyonunu sizlere anlatmaya çalistim. Bu noktada ilk önce adim adim Cisco Secure ACS üzerinde gerekli konfigürasyonlari inceledim ve devaminda Router üzerinde yapilmasi gereken konfigürasyonlar hakkinda bilgi vermeye çalistim. Son olarak konfigürasyonlarin çalisirligini test edrek eksik bir nokta kalmadigini sizlere göstermeye çalistim. Umarim faydali olmustur. Herkese iyi çalismalar. Hayrullah Kolukisaoglu
|
Makaleler 
(0 Oylama)
Trial
Yazan:: Orhan ERGÜN () Tarih: 03-12-2007 09:26