HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA
KONFİGÜRASYONU
Levent Gönenç GÜLSOY – 27.01.2014
1. GİRİŞ
1.1 Network Access Control (NAC) Metodları
•
•
•
MAC Doğrulaması: 802.1x ve Web Kimlik doğrulaması desteklemeyen cihazlarda
uygulanabilen bir kimlik doğrulama çeşididir. Adından da belli olduğu gibi kullanıcıların
MAC adreslerine göre kimlik doğrulama yapılmaktadır.
Web Doğrulaması: Web doğrulaması ziyaretçi diye adlandırdığımız kullanıcılar için
kullanılabilen bir doğrulama çeşitidir. Genellikle oteller, havaalanları gibi halka açık
yerlerde kullanılır.
802.1x Doğrulaması: 802.1x, 3 metodun içinde en güvenilir ve en tercih edilen
konfigürasyondur. 802.1x otomatik kimlik doğrulama, anahtar yönetimi ve merkezi
kimlik doğrulamasını destekler.
1.2 802.1x’in Avantajları
 Kullanıcının bağlı olduğu porttaki trafik, ancak kullanıcının RADIUS sunucusunda
kimlik doğrulaması yapıldıktan sonra açılır.
 802.1x dinamik VLAN atamasına olanak sağlar.
 802.1x protokolü “misafir” rolündeki kullanıcılar hangi porta bağlı olursa olsunlar sıkı
denetim altında tutar.
 Kullanıcı aktivitesi RADIUS sunucusu üzerinden izlenebilir.
2. 802.1X DOĞRULAMA SÜRECİ VE EAP PROTOKOLLERİ
802.1x kimlik doğrulaması RADIUS metodunu ele alır ve 3 ana gruptan oluşur: Bunlar
Kullanıcı, Kimlik Doğrulayıcı cihaz ve RADIUS sunucusudur. Kullanıcı ve kimlik
doğrulayıcı cihaz haberleşmeyi EAP Protokolleri üzerinden sağlar.
2.1 Kullanıcı
Kullanıcı dediğimiz bir bilgisayar olabildiği gibi, herhangi bir router, switch, IP telefon
ve ya bir network cihazı olabilir.
1
2.2 Kimlik Doğrulayıcı Cihaz
Kimlik doğrulayıcı cihaz, son kullanıcının network’e erişiminde bir aracı olarak görev
yapar. Cihaz, RADIUS sunucusu ile iletişime geçerek kullanıcının bilgilerini kontrol eder. HP
ProCurve switchler kimlik doğrulayıcı cihaz olarak kullanılabilir.
2.3 Kimlik Doğrulama Sunucusu
Kimlik Doğrulama Sunucusu, switchden aldığı bilgileri Kullanıcı Adı/Şifre şeklinde
kontrol eder ve erişime izin verir. HP ProCurve konfigürasyonunda bu işi yapan sunucu
RADIUS sunucusudur.
2.4 EAP ile Kimlik Doğrulama
EAP, Kullanıcı ve Kimlik Doğrulayıcı arasındaki etkileşimi kontrol eden bir
mekanizmadır. Figür 1 de görüldüğü gibi kimlik doğrulama işini yapan switchdir.
Switch portunda 802.1x’i aktif etmek için o port “port-authenticator” olarak konfigüre
edilmelidir.
Kullanıcı
RADIUS Server
HP ProCurve Switch
Figür 1 – Kimlik Doğrulama İşlemi
3. PROCURVE SWITCHLERDE 802.1X KOMUTLARI
•
Port access’i aktif etme komutu.
[no] aaa port-access authenticator < [ethernet] < port-list >
Örn: aaa port-access authenticator 1 (1. Portta aktif ettik)
aaa port-access authenticator 5-24 (5’den 24’e kadar olan portlarda aktif
ettik)
•
Server zamanaşımı komutu. (Varsayılan: 30 sn)
aaa port-access
timeout<1-300>]
authenticator
<[ethernet]
2
<port-list>
[server-
Örn: aaa port-access authenticator 1 server-timeout 120
zamanaşımı süresi 120 sn olarak ayarlandı.)
(1.
Porttaki
• Maksimum istek yapılandırması komutu. (Varsayılan: 2 defa)
aaa port-access authenticator <[ethernet] <port-list> [max-requests
<1-10>]
Örn: aaa port-access authenticator 20 max-requests 4
(20. Porttaki maksimum istek sayısı 4 olarak ayarlandı.)
• Kimlik doğrulamayı tekrarlama süresi yapılandırması komutu. (Varsayılan: 0 sn)
aaa port-access authenticator <[ethernet] <port-list> [reauth-period
<1-9999999>]
Örn: aaa port-access authenticator 21 reauth-period 150
(21. Portta kimlik doğrulamayı tekrarlama süresi 150 sn olarak ayarlandı.)
• Yetkisiz vlan yapılandırması komutu. (Kullanıcı eğer domainde değilse IP alınacak vlanı
belirler, genellikle karantina olanarak atanan vlandır.)
aaa port-access authenticator <[ethernet] <port-list> [unauth-vid
<vlan-id>]
Örn: aaa port-access authenticator 12 unauth-vid 100
(12. Porttan eğer domainde olmayan bir bilgisayar bağlanırsa Vlan 100’e atar.)
• Yetkili vlan yapılandırması komutu. (Kullanıcı eğer domainde ise IP alınacak vlanı belirler.)
aaa port-access
<vlan-id>]
authenticator
<[ethernet]
<port-list>
Örn: aaa port-access authenticator 12 unauth-vid 10
(12. Porttan eğer domainde olan bir bilgisayar bağlanırsa Vlan 10’a atar.)
3
[auth-vid
• Kimlik doğrulama metodunu yapılandırma.
aaa authentication port-access <local|eap-radius|chap-radius>
Local: Switch’in local kullanıcı adı ve şifresini kullanır.
Eap-Radius: Eap-Radius kimlik doğrulamasını kullanır, biz bunu kullanacağız.
Chap-Radius: MD-5 şifreleme algoritmasını kullanan kimlik doğrulamasıdır.
Örn: aaa authentication port-access eap-radius
• Radius server ayarları.
radius-server host <ip-address>[key <server-specific key-string>]
Örn: radius-server host 10.2.21.135 key kimlikdogrulama
(Radius sunucumuzun IP adresi 10.2.21.135, key’den sonra yazdığımız kısım ise doğrulama
sırasında radius serverda ayarlanmış olan şifreli anahtar)
• 802.1X konfigürasyonunu switch üzerinde aktif etme
Portlar üzerinde yaptığımız tüm konfigürasyonlardan sonra aşağıdaki komutu kullanarak
802.1x’i aktif edilir.
aaa port-access authenticator active
4. 802.1X SHOW KOMUTLARI
• show port-access authenticator [[e] < port-list >][config |
statistics | session-counters | clients | vlan]
config: İlgili portta port-access’in aktif olup olmadığını gösterir.
statistics: 802.1X ile ilgili istatislikleri, kullanıcların MAC adresi gibi bilgileri gösterir.
clients: Bağlı olan kullanıcıların kimliğinin doğrulanıp doğrulanmadığını, hangi vlan’dan
IP aldığını gösterir.
vlan: Bağlı olan kullanıcıların vlan bilgilerini gösterir.
4
5. REFERANSLAR
• Security Oct 2005 Chap – 8
• ProCurve 3500yl-5400zl-8212zl switches user manuals
5
Download

HP PROCURVE SWITCHLERDE 802.1X KİMLİK