HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU Levent Gönenç GÜLSOY 27.01.2014 1. GİRİŞ 1.1 Network Access Control (NAC) Metodları MAC Doğrulaması: 802.1x ve Web Kimlik doğrulaması desteklemeyen cihazlarda uygulanabilen bir kimlik doğrulama çeşididir. Adından da belli olduğu gibi kullanıcıların MAC adreslerine göre kimlik doğrulama yapılmaktadır. Web Doğrulaması: Web doğrulaması ziyaretçi diye adlandırdığımız kullanıcılar için kullanılabilen bir doğrulama çeşitidir. Genellikle oteller, havaalanları gibi halka açık yerlerde kullanılır. 802.1x Doğrulaması: 802.1x, 3 metodun içinde en güvenilir ve en tercih edilen konfigürasyondur. 802.1x otomatik kimlik doğrulama, anahtar yönetimi ve merkezi kimlik doğrulamasını destekler. 1.2 802.1x in Avantajları Kullanıcının bağlı olduğu porttaki trafik, ancak kullanıcının RADIUS sunucusunda kimlik doğrulaması yapıldıktan sonra açılır. 802.1x dinamik VLAN atamasına olanak sağlar. 802.1x protokolü misafir rolündeki kullanıcılar hangi porta bağlı olursa olsunlar sıkı denetim altında tutar. Kullanıcı aktivitesi RADIUS sunucusu üzerinden izlenebilir. 2. 802.1X DOĞRULAMA SÜRECİ VE EAP PROTOKOLLERİ 802.1x kimlik doğrulaması RADIUS metodunu ele alır ve 3 ana gruptan oluşur: Bunlar Kullanıcı, Kimlik Doğrulayıcı cihaz ve RADIUS sunucusudur. Kullanıcı ve kimlik doğrulayıcı cihaz haberleşmeyi EAP Protokolleri üzerinden sağlar. 2.1 Kullanıcı Kullanıcı dediğimiz bir bilgisayar olabildiği gibi, herhangi bir router, switch, IP telefon ve ya bir network cihazı olabilir. 1
2.2 Kimlik Doğrulayıcı Cihaz Kimlik doğrulayıcı cihaz, son kullanıcının network e erişiminde bir aracı olarak görev yapar. Cihaz, RADIUS sunucusu ile iletişime geçerek kullanıcının bilgilerini kontrol eder. HP ProCurve switchler kimlik doğrulayıcı cihaz olarak kullanılabilir. 2.3 Kimlik Doğrulama Sunucusu Kimlik Doğrulama Sunucusu, switchden aldığı bilgileri Kullanıcı Adı/Şifre şeklinde kontrol eder ve erişime izin verir. HP ProCurve konfigürasyonunda bu işi yapan sunucu RADIUS sunucusudur. 2.4 EAP ile Kimlik Doğrulama EAP, Kullanıcı ve Kimlik Doğrulayıcı arasındaki etkileşimi kontrol eden bir mekanizmadır. Figür 1 de görüldüğü gibi kimlik doğrulama işini yapan switchdir. Switch portunda 802.1x i aktif etmek için o port port-authenticator olarak konfigüre edilmelidir. Kullanıcı HP ProCurve Switch RADIUS Server Figür 1 Kimlik Doğrulama İşlemi 3. PROCURVE SWITCHLERDE 802.1X KOMUTLARI Port access i aktif etme komutu. [no] aaa port-access authenticator < [ethernet] < port-list > Örn: aaa port-access authenticator 1 (1. Portta aktif ettik) aaa port-access authenticator 5-24 (5 den 24 e kadar olan portlarda aktif ettik) Server zamanaşımı komutu. (Varsayılan: 30 sn) aaa port-access authenticator <[ethernet] <port-list> [servertimeout<1-300>] 2
Örn: aaa port-access authenticator 1 server-timeout 120 (1. Porttaki zamanaşımı süresi 120 sn olarak ayarlandı.) Maksimum istek yapılandırması komutu. (Varsayılan: 2 defa) aaa port-access authenticator <[ethernet] <port-list> [max-requests <1-10>] Örn: aaa port-access authenticator 20 max-requests 4 (20. Porttaki maksimum istek sayısı 4 olarak ayarlandı.) Kimlik doğrulamayı tekrarlama süresi yapılandırması komutu. (Varsayılan: 0 sn) aaa port-access authenticator <[ethernet] <port-list> [reauth-period <1-9999999>] Örn: aaa port-access authenticator 21 reauth-period 150 (21. Portta kimlik doğrulamayı tekrarlama süresi 150 sn olarak ayarlandı.) Yetkisiz vlan yapılandırması komutu. (Kullanıcı eğer domainde değilse IP alınacak vlanı belirler, genellikle karantina olanarak atanan vlandır.) aaa port-access authenticator <[ethernet] <port-list> [unauth-vid <vlan-id>] Örn: aaa port-access authenticator 12 unauth-vid 100 (12. Porttan eğer domainde olmayan bir bilgisayar bağlanırsa Vlan 100 e atar.) Yetkili vlan yapılandırması komutu. (Kullanıcı eğer domainde ise IP alınacak vlanı belirler.) aaa port-access authenticator <[ethernet] <port-list> [auth-vid <vlan-id>] Örn: aaa port-access authenticator 12 unauth-vid 10 (12. Porttan eğer domainde olan bir bilgisayar bağlanırsa Vlan 10 a atar.) 3
Kimlik doğrulama metodunu yapılandırma. aaa authentication port-access <local eap-radius chap-radius> Local: Switch in local kullanıcı adı ve şifresini kullanır. Eap-Radius: Eap-Radius kimlik doğrulamasını kullanır, biz bunu kullanacağız. Chap-Radius: MD-5 şifreleme algoritmasını kullanan kimlik doğrulamasıdır. Örn: aaa authentication port-access eap-radius Radius server ayarları. radius-server host <ip-address>[key <server-specific key-string>] Örn: radius-server host 10.2.21.135 key kimlikdogrulama (Radius sunucumuzun IP adresi 10.2.21.135, key den sonra yazdığımız kısım ise doğrulama sırasında radius serverda ayarlanmış olan şifreli anahtar) 802.1X konfigürasyonunu switch üzerinde aktif etme Portlar üzerinde yaptığımız tüm konfigürasyonlardan sonra aşağıdaki komutu kullanarak 802.1x i aktif edilir. aaa port-access authenticator active 4. 802.1X SHOW KOMUTLARI show port-access authenticator [[e] < port-list >][config statistics session-counters clients vlan] config: İlgili portta port-access in aktif olup olmadığını gösterir. statistics: 802.1X ile ilgili istatislikleri, kullanıcların MAC adresi gibi bilgileri gösterir. clients: Bağlı olan kullanıcıların kimliğinin doğrulanıp doğrulanmadığını, hangi vlan dan IP aldığını gösterir. vlan: Bağlı olan kullanıcıların vlan bilgilerini gösterir. 4
5. REFERANSLAR Security Oct 2005 Chap 8 ProCurve 3500yl-5400zl-8212zl switches user manuals 5