LAN Security makale serimizin bu bölümünde giderek kullanımı yaygınlaşan 802.1x Port-Based Authentication yada Cisco deyimiyle Identity-Based Networking Services üzerinde durmaya çalışacağız. 2950, 3550, 4500, 6500 serisi gibi Cisco switchler üzerinde konfigüre edlebilen 802.1x Authentication ile network LAN güvenliğimizi ciddi bir şekilde artırabileceğimizi söyleyebiliriz.

Wireless LAN üzerinde de uygulanabilecek olmasına rağmen yazımız içerisinde switchler ile konfigürasyonundan bahsedeceğiz.



Cisco Switchler ile Port Security ile kıyaslandığında daha güvenli bir yapının 802.1x ile oluşturulabileceğini söyleyebiliriz. Fakat hemen belirtmekte fayda var ki, Port Security ve 802.1x birlikte kullanılamaz.


Cisco Switchler Microsoft Windows XP, Linux ve HP Unix işletim sistemleri için 802.1x’ i desteklediğinden kullanılabilirlik alanı oldukça geniştir. IETF’nin Radius standardı ile çalışan 802.1x Authentication için Cisco’da Secure ACS’i geliştirmiştir. Bu makale boyunca Cisco Secure ACS üzerindeki konfigürasyonların nasıl yapılacağı üzerinde duracağız. Bunun dışında IAS yada ücretsiz bazı Radius Server’larda aynı amaç için kullanılabilir.




802.1x standardı istemcilerin o istemcilere özel (unique) bilgiler ile kimlik doğrulumasının yapılması şeklinde özetlenebilir. Burada istemcilerin Windows kullanıcı adı ve şifreleri kullanılabileceği gibi Radius Server üzerinde oluşturulacak bir veritabanındaki kullanıcı adı ve şifrelerin de kullanılması sağlanabilir.

 

Burada Cisco Switch Authenticator görevindedir ve kendisine direk bağlı olan istemciler ile Authentication Server (Burada Cisco Secure ACS) arasında EAP (Extensible Authentication Protocol) mesajlarının değişilerek kimlik doğrulamanın tamamlanmasını sağlar. Bizim uygulama sırasında kullanacağımız EAP yöntemi MD5-Challange’a göre daha güvenli olması sebebiyle Protected EAP olacak. EAP için bazı yerlerde EAPOL (EAP over LAN) gibi ifadelerde görebilirsiniz.

 Çok fazla uzatmadan bir uygulama üzerinde işlerin nasıl devam edeceğini görürsek daha faydalı olacaktır. Önce kısaca uygulamamız sırasında işlem basamaklarımızdan bahsedelim. Yapacağımız işlemler sırasıyla şu şekilde olacak;


1. Cisco ACS üzerinde Clien tanımlanması

2. ACS üzerinde Sertifika ve PEAP konfigürasyonu

3. Active Directory – ACS Group mapping işlemleri

4. ACS Groupları üzerinde Vlan konfigürasyonu

5. İstemci tarafındaki konfigürasyonların yapılması

6. Switch üzerindeki konfigürasyonların yapılması



Cisco Secure ACS kurulumu üzerinde fazla durmayacağım. Kurulumu zaten bir oyun kurmak kadar basittir. Kurulduktan sonra başlangıçta sadece kurulu olduğu makine üzerinde masaüstüne atılan kısayol sayesinde ACS’ e erişebilirsiniz. Daha sonra Administrator menüsünden uzak bilgisayarlardan erişmek üzerede kullanıcılar oluşturabilirsiniz. Uzak bir bilgisayardan 2002 nolu porttan erişilebilir.

Daha sonra kullanıcı adı ve şifre girildiğinde random bir port üzerinde çalışılmaya devam edilecektir.

Biz uygulamamız sırasında kullanıcılar hem kullanıcı adı ve şifreleri ile port seviyesinde kimlik doğrulamalarını hem de her kullanıcının hangi port üzerinden networke dahil olursa olsun kendi Vlan’ına dahil olmasını sağlayacağız. Vlan atamalarını yapabilmek için Interface Configuration menüsünde RADIUS (IETF)’ ye girilmeli ve Tunnel-Type, Tunnel-Medium-Type ve Tunnel-Private-Group-ID seçeneklerinin aktif edilmesi gerekmektedir.

Burada aslında öncelikle şunu da belirtmek gerekirki Cisco Secure ACS üzerinde Radius Standardı ile kimlik doğrulama sağlayacak bir cihaz tanıtılmadan bu menü ortaya çıkmayacaktır.  Cisco Secure ACS’e bir switch tanımlamak için Network Configuration menüsü kullanılabilir.

Biz örneğimizde Cisco 3550 serisi bir switch’i tanımladık. Burada Switch Ip adresi, hostname’i ve shared key’ler switch üzerinde de aynı olmalıdır.

PEAP ile 802.1x kimlik doğrulama için ACS üzerinde sertifika da tanımlı olması gerekmektedir. Sertifikayı istersek Cisco ACS üzerinde oluşturabilir ya da önceden oluşturduğumuz bir sertifikayı install edebiliriz. Cisco ACS üzerinde sertifika oluşturmak için Cisco Secure ACS’in System Configuration menüsüne girmemiz gerekir.

Burada ACS Certificate Setup kısmına girip sertifikamız oluşturuabilir ve install edebiliriz. Sertifika oluşturmak için çok detaylı bilgisi olmayanlara ACS’in sağ tarafında yer alan Help kısmı yardım colacaktır. Aslında ACS üzerinde herhangi bir menüye girdiğimizde hemen sağ tarafta yer alan bir pencerede o menüye ait yardım sayfası  her zaman yeralmaktadır.

ACS Certificate Setup menüsüne girdikten sonra Generate Self-Signed Certificate kısmına girerek sertifika oluşturulabilir. Şekilde bu menüleri görebilirsiniz. ACS üzerinde sertifikamızı oluşturup install ettikten sonra ACS’i restart etmemiz gerekmektedir. Zaten bununla ilgili bir uyarıyı ACS kendisi de verecektir.

ACS System Configuration menüsü altındaki Service Control kısmından restart edilebilir. Restart ettikten sonra PEAP konfigürasyonumuz yapabiliriz. Bunun için yine System Configuration menüsünden Global Authentication Setup’a girmemiz gerekiyor.

Şekilde konfigürasyonu tamaladıktan sonra ACS’ Windows database’imizi tanıtmak için harekete geçebiliriz. Bu arada Sertifika ile ilgili bir sorun var ise PEAP konfigürasdyonu yapılamayacak, ACS bu konuda bir uyarı verecektir.

Daha öncede belirttiğimiz gibi kullanıcılar kimlik doğrulaması sırasında Windows veritabanı kullanılabilir yada ACS üzerinde bir veritabanı oluşturulabilir. ACS üzerinde oluşturulan veritabanı ile kullanıcıların bilgisayarlarını açtıktan sonra kimlik doğrulama için yeniden kullanıcı adı ve şifre girmek zorunda kalacak olmaları bana iyi bir çözüm olarak görünmediği için bu uygulamada Active Directory’de tanımlanmış kullanıcı adı ve şifreler ile kullanıcıların kimlik doğrulama işlemlerini tamamlamasını sağlayacağız.

Ben virtual PC üzerinde kurduğum hayrullah.com domain’i üzerinde oluşturduğum kullancıların kimlik doğrulama ve vlan atama işlemleri yürüteceğim. Bunun için öncelikle yapmamız gereken domainimizi Cisco Secure ACS’e tanıtmak olacaktır.

Cisco Secure ACS aşağıdaki External User Database’ler ile birlikte çalışabilir.

External User Databases menüsünde şekildeki yere ulaşılabilir. Burada Configure Domain List kısımında sol tarafta Available Domains’i göreceksiniz. Bunu sağ taraftaki Domain List kısmına aktardıktan sonra domainimizdeki grupları Cisco Secure ACS üzerindeki önceden tanımlanmış gruplara map etmemiz gerekecek.  Bu uygulamada kullanmak üzere Active Directory üzerinde Muhasebe ve Satis adında iki tane grup oluşturdum ve bu gruplara kullanıcılar ekledim. Uygulamamızın devamı olarak Muhasebe grubunun Vlan 5, Satis grubumuzun Vlan 10’a üye olması gerektiğini varsayıyoruz. Active Directory’deki bu grupları ACS üzerindeki Group 5 ve 10’a map edeceğiz. Şekilde uygulamamızın tam karşılığını bulabilirsiniz.

Group map işlemi için External User Databases menüsünden Database Group Mappings—> Windows DatabaseàNew Configuration kısmına gelip Domainimizi ekliyoruz.

Şekillerde işlem basamakları mevcuttur. Bundan sonra yapmamız gerekn Active Directory gruplarını map etmek olacaktır. Bunun için Database Group Mappings—> Windows Database menüsünden domainimizi buup oraya giriyoruz.

Buraya girdikten sonra karşımız mapping işlemlerini tanımlayabileceğimizi bir kısım çıkacak. Add Mapping butonu ile işlemlerimize başlayabiliriz.

Add Mapping manüsünden Active Directory grubumuzu bulup, Add Selected dedikten sonra hemen altındaki menüden Cisco ACS üzerindeki hangi gruba map edeceğimizi seçiyoruz.

Map işlemlerinden sonra Group Mapping kısmında durumu görebilir, doğru olduğundan emin olabiliriz.

Active Directory gruplarımızı ACS gruplarına map ettikten sonra bu grupların hangi vlanlara üye olacağını tanımlayabiliriz. Bunun için ACS’in sol taraftaki menüsünden Group Setup kısmına girmemiz gerekecek.

Bu noktada Active Directory veritabanını kullanmak yerine kendimiz kullanıcı oluşturmak isteyebiliriz. Uygulamamız Active Directory kullancıları üzerinde devam edecek fakat yine de ACS üzerinde kullanıcıların nasıl oluşturulabileceğinide merak edenler olabilir. Cisco Secure ACS üzerinde kullanıcı oluşturmak için User Setup menüsüne girilmelidir. Burada mevcut kullanıcıları bir listesini alabileceğimiz gibi yeni kullanıcı da ekleyebiliriz. Eklemek istediğimiz kullanıcı adını yazdıktan sonra Add/Edit butonuna basmamız yeterli olacaktır.

Kullanıcı şifresinin belirlenmesi ve kullanıcının hangi ACS grubuna dahil olacağı buradan sonra belirlenebilir.

Evet Group Setup menüsünden uygulamamıza devam ediyoruz. Cisco ACS üzerinde Default Group ile birlikte önceden tanımlanmış 500 tane group vardır.

 Rename kısmında gruba daha açıklayacı bir isimde vermek mümkünmdür.

Edit Settings dedikten sonra Grup için yapılabilecek bir çok konfigürasyon göreceğiz. Biz uygulamamızda Vlan ataması yapacağımız için sadece aşağıdaki şekilde işaretlenmiş kısımları değiştirmemiz yeterli olacaktır.

Burada Active Directory’de tanımlı Muhasebe grubu için Vlan tanımlamalar görülebilir. Dikkat edilecek önemli bir nokta Tunnel-Private-Group-ID kısmında Vlan numarası değil Vlan ismi kullanılmalıdır. Cisco ACS tarafında yapacaklarımız bu kadar. Şimdi istemci tarafına geçip ilgili konfigürasyonu yapabiliriz.

Local Area Connectionà Authentication kısmında PEAP’ı seçiyoruz.

Proporties menüsünden EAP MSCHAPv2 konfigürasyonunda Windows kullanıcı adı ve şifrenin kullanılacağının seçili olduğunu kontrol etmekte fayda var.

Switch üzerinde de bir iki konfigürasyon yapmamız gerekecek. Switch’in 802.1x kimlik doğrulamayı sağlaması için AAA’ nın enable edilmesi gerekmektedir. AAA “aaa new-model” komutu ile enable edilebilir. AAA enable edildikten sonra kimlik doğrulama için “aaa authentication” ve vlan atanması için “aaa authorization” enable edilmeli, radius server tanıtılmalıdır.  Son olarak “dot1x system-auth-control” komutu ile 802.1x enable edilecektir.

Arkasında 802.1x kimlik doğrulamayı kullanacağımız interfacelerde 802.1x port kontrolü enable edilmelidir. Konfigürasyon aşağıdaki gibi yapılabilir. Ben bu uygulama için kullandığım switch üzerinde fastethernet 0/7 portu üzerinde çalıştım.

Bu arada hatırlatmakta fayda var, cisco switchlerde konfigüre edilebilen Port Security uygulanmış portlarda 802.1x kullanılamaz. Bununla birlikte SPAN, Trunk, Etherchannel portlarında da 802.1x kullanılamaz.

Tabi bu arada Vlanlarımızıda doğru isimler ile birlikte olşturmayı unutmuyoruz.

Bundan sonra Switchin fastethernet 0/7 portuna bağlı olan kullanıcılar  kimlik doğrulaması tamamlandıktan sonra portları kullanıcıların dahil olması gereken Vlana üye olacaktır. Başlangıçta bu port herhangi bir Vlan’a üye değildir.

Bu arada kendi karşılaştığım bir hatayı da sizler ile paylaşmak isterim. Active Directory kullancılarının varsayılan olarak Dial-In izinleri yok. Bu durumda Reports and Activity menüsünden  Failed Attemps’e girersek loglarda  şöyle bir hata ile karşılaşacaksınız.

Konfigürasyonu tamamladıktan sonra ben Active Directory’de tanımlamış olduğum iki ayrı kullanıcı ile aynı port üzerinden networke dahil oldum ve aşağıdaki switch görüntülerini aldım.

Burada HostMode’un Single Host olması bazı durumlarda sakıncalı olabilir. Bu yüzden Multi-Host durumuna getirmek isteyebiliriz. Bunun için şu konfigürasyon gerekecektir.

Evet bu makalemizde fazla kafa karıştırmadan en basit şekilde Cisco Switchler ve Cisco Secure ACS üzerinde 802.1x kşmlik doğrulama ve Vlan atama işlemlerinin nasıl yapılacağını adım adım inceledik. Umarım faydalı olmuştur, herkese iyi çalışmalar.

Ortalama Üye Değerlendirmesi

   (4 Oylamalar)

Yorum Sayısı: 7 / 7